Teknik

RDP sunucuları dark webde yeni bir pazar oluşturdu

RDP sunucuları yeni bir siber ekonomi yarattıPopüler hacker pazarı UAS‘ın (Ultimate Anonymity Service) 1,3 milyon RDP sunucu bilgilerini ifşa etmesi sonrası benzer durumların yeni bir siber ekonomi yarattığı düşünülüyor.

Geçmişte ve halihazırda kullanılan ve istismar edilmiş 1,3 milyon RDP sunucusunun giriş bilgileri (ad, parola), en büyük hacker pazarlarından biri olan UAS  tarafından sızdırıldığı ortaya çıkarıldı.

Uzun yıllardan beri UAS içinde olan siber güvenlik araştırmacılarının ortaya çıkardığına göre toplam 63 ülkeden milyonlarca RDP sunucusunun giriş bilgileri yer alıyor.

UAS PAZARI GİZLİCE İZLENDİ

2018’in Aralık ayından bu yana bir grup siber güvenlik araştırmacısı, UAS pazarının veri tabanına gizli erişim sağladı. Söz konusu güvenlik araştırmacılar bu yöntem sayesinde neredeyse üç yıldır sessiz sedasız satılan RDP giriş bilgilerini topluyor.

Bu süre zarfında güvenlik araştırmacıları, UAS üzerinden satılan 1.379.609 RDP hesabının IP adreslerini, kullanıcı adlarını ve şifrelerini topladılar. Elde edilen veritabanı Advanced Intel’den Vitali Kremez ile paylaşıldı.

Veritabanında hangi devlet kurumlarının veya şirketlerin olduğu belirtilmese de dünyanın her bir noktasından RDP sunucularının sızdırıldığı belirtildi. Bu anlamda en çok RDP sunucularının sızdırıldığı ülkeler ise Brezilya, Hindistan ve ABD olarak dikkat çekiyor.

Bunların yanı sıra sağlık sektöründeki birçok yüksek profilli şirketin RDP sunucuları da sızdırılan sunucular arasında bulunuyor. Ayrıca edinilen bilgilere göre son iki yılda fidye yazılımı saldırılarına uğradığı bilinen kuruluşlara ait de birçok RDP sunucusu bulunuyor.

RDP’Yİ ÖZEL KILAN NEDİR?

RDP’yi özel kılan şey, önünüzde bulunan bilgisayarınıza, sanki bir başkası karşısında oturuyormuş gibi uzaktan erişimi mümkün kılmasıdır. Yani bir Windows cihazının uygulamalarına ve masaüstüne erişim sağlayabiliyorsunuz.

Kurumsal ağlarda ve aynı zamanda büyük şirketlerde de yaygın bir biçimde RDP kullanılması, siber saldırganlara yeni gelir kapısı aralamak gibi bir fırsat sunuyor. Elde ettikleri bilgileri 3 ila 70 dolar arasında satan siber saldırganlar bu anlamda sürekli gelişen yeni bir ekonomi geliştirmiş durumdalar.

RDP, SALDIRILARIN ÇOĞUNDAN SORUMLU

RDP sunucularını istismar etmenin çoğu durumda kolay ve yaygın olması nedeniyle daha öncelerde de açıklama yapan FBI, fidye saldırılarına yol açan tüm ağ ihlallerinin yüzde 70 veya 80’inden RDP’nin sorumlu olduğunu belirtti.

FBI, APT tehdidine karşı uyardı: Fortinet VPN zafiyetleri istismar ediliyor

Siber saldırganlar, ağınıza erişim sağladığında çeşitli kötü amaçlı faaliyetler gerçekleştirebiliyor. Bunlar arasında veri çalma, kredi kartı bilgileri toplama, zararlı yazılım yükleme veya daha fazla erişim elde etmek için arka kapı kurma ya da fidye yazılımı dağıtma gibi metodlar yer alıyor.

Neredeyse tüm fidye yazılım çeteleri bir noktaya kadar RDP kullansa da ayrıca Dharma olarak bilinen bir fidye yazılım grubu, kurumsal ağlarda kalıcı olarak yer edinmek için ağırlıklı olarak RDP kullanmasıyla biliniyor.

UAS NEDİR? NASIL ÇALIŞIR?

UAS veya uzun adıyla ‘Ultimate Anonymity Service’, RDP bilgilerini, Sosyal Güvenlik numaralarını, SOCKS proxy sunucu erişimlerini ve birçok hizmeti barındıran bir ticaret sitesi olarak karşımıza çıkıyor.

UAS’i RDP konusunda öne çıkaran nokta ise, satılan RDP bilgilerinin manuel olarak doğrulanması, her halükarda müşteri desteği sunması ve istismar edilmiş bir bilgisayardaki uzaktan erişimin nasıl korunacağına dair bilgiler vermesi oluyor.

İsmini vermek istemeyen bir güvenlik araştırmacısının açıklamalarında şu cümlelere yer verildi: “UAS, eBay gibi bir işlev görüyor. Birçok hacker pazarla birlikte çalışıyor. Siteye giriş yapmak ve hackledikleri RDP’leri yüklemek için farklı giriş yerleri bulunuyor. UAS sistemi de daha sonra girilen bilgileri doğrulamak için RDP’ler üzerinde bilgi topluyor. Bu bilgiler arasında cihazın işletim sistemi, internet hızı, CPU veya bellek bilgileri gibi çeşitli bilgiler yer alıyor. Aynı zamanda hackerlar arayüz üzerinde gerçek zamanlı istatistikler görebiliyor. Neyin satılıp satılmadığı, ödemenin gerçekleşip gerçekleşmediği, sorun yaşanıp yaşanmadığı gibi. Örneğin satın aldığınız herhangi bir şey herhangi bir sebep yüzünden işe yaramazsa, destek alabiliyorsunuz. Müşteri memnuniyeti bir hayli ön planda.”

Aynı zamanda çalınan RDP sunucu bilgilerini satın alırken istediğiniz bir ülkede istediğiniz bir şehirde ISS veya işletim sistemindeki istismar edilmiş cihazları seçebilir, ihtiyaç duyduğunuz spesifik bir sunucuyu bulmanızın önünü açabilirsiniz.

Bunların ötesinde istismar edilmiş cihazların internet bağlantı hızını, donanımını ve daha fazlasını görmek için de daha derin araştırmalar yapabilirsiniz.

Ancak sitenin aldığı karara göre, pazardaki RDP’lerin Rusya veya herhangi bir Bağımsız Devletler Topluluğu üyesi ülkede bulunan hiçbir sunucuya satılmayacağı, böyle bir şey gerçekleşirse de tespit edilen sunucuların otomatik olarak banlanacağı bir komut dosyasının çalıştırılacağı ifade edildi.

YENİ HİZMET: RDPwned

Advanced Intel’den Vitali Kremez, şirketlerin, kurumların veya yöneticilerin sunucularının veritabanında listelenip listelenmediğini kontrol etmelerine olanak tanıyan RDPwned adlı yeni bir hizmet başlattıklarını duyurdu.

Milyonlarca kullanıcısı olan Yemeksepeti’ne siber saldırı: Kişisel veriler ve parolalar ele geçirildi

Vitali Kremez, “Söz konusu pazarın dünya çapında gerçekleşen bir dizi yüksek profilli siber saldırılarla veya fidye yazılım vakalarıyla bağlantısı olduğu ve birçok fidye yazılımı çetesinin UAS içinde satın almalarının olduğu biliniyor. Bir hacker hazinesine dönüşen bu pazar, siber suç ekosistemine de bir mercek tutulmasına katkıda bulunuyor. Bu anlamda zayıf parolalar ve internete açık RDP’ler gibi düşük kapasitede koruması olan bu alanlara ihlallerin artması kaçınılmaz şekilde devam ediyor.” açıklamasını yaptı.

Ayrıca Kremez, “RDPwned ayrıca, ilk erişimi asla çözülemeyen eski ihlalleri aydınlatmaya da yardımcı olacak. Diğerlerinin de yaşanabilecek güvenlik sorununun bir ihlal haline gelmeden önce çözme şansı olacak.” dedi.

RDP KULLANICI ADLARINA VE ŞİFRELERİNE DAİR BİR TAKIM İSTATİSTİKLER

Bile bile lades olmak deyimi bile bu kullanıcı adı ve parolaların yanında sönük kalır diyebileceğimiz, veritabanında süzülmüş 1,3 milyon RDP sunucu bilgilerinin olduğu listede yer alan kullanıcı adlarını, şifrelerini ve en çok hangi ülkeden RDP sunucuları bilgilerinin sızdırıldığını aşağıdaki listelerde bulabilirsiniz.

En sık kullanılan 20 kullanıcı adı:

Kullanıcı Adı Toplam Hesap Sayısı
Administrator 303,702
Admin 59,034
User 45,096
test 30,702
scanner 20,876
scan 16,087
Guest 12,923
IME_ADMIN 9,955
user1 8,631
Administrador 8,612
Trader 8,608
postgres 5,853
IME_USER 5,667
Usuario 5,236
user2 4,055
Passv 3,989
testuser 3,969
test1 3,888
server 3,754
student 3,592
reception 3,482
backup 3,356
openpgsvc 3,339
info 3,156
VPN 3,139

 

En sık kullanılan 20 şifre:

Kullanıcı parolaları Toplam Hesap Sayısı
123456 71,639
123 50,449
[email protected] 47,139
1234 34,825
Password1 27,007
1 24,955
password 19,148
12345 16,522
admin 15,587
ffff-ffc0M456x (see note) 15,114
[email protected] 13,572
User 13,437
scanner 13,193
scan 10,409
test 10,169
Aa123456 9,399
Password123 8,756
12345678 8,647
Admin123 8,214
Passw0rd 7,817
admin,[email protected]#$%^ 7,027
[email protected] 6,248
Welcome1 5,962
[email protected] 5,522
[email protected] 4,958

 

En çok RDP sunucu bilgileri sızdırılan ülkeler:

Ülke İsmi Toplam Hesap Sayısı
ABD 299,529
Çin 201,847
Brezilya 119,959
Almanya 56,225
Hindistan 41,588
Birleşik Krallık 37,810
Fransa 32,738
İspanya 30,312
Kanada 27,347
Hong Kong 24,804

 

Hiçbir haberi kaçırmayın!

E-Bültenimiz ile gelişmelerden haberdar olun!

İstenmeyen posta göndermiyoruz! Daha fazla bilgi için gizlilik politikamızı okuyun.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Başa dön tuşu
%d blogcu bunu beğendi: