En la DarkWeb se puede encontrar realmente de todo, desde pornografía ilegal, tráfico de armas, drogas etc.. pero también se puede encontrar a la venta, accesos RDP a algunos servidores en algunos lugares importantes, como por ejemplo, el sistema de seguridad de un Aeropuerto.
Mientras investigaba los mercados de hackers clandestinos, el equipo de McAfee Advanced Threat Research descubrió que el acceso vinculado a los sistemas de seguridad y automatización de edificios de un importante aeropuerto internacional podría comprarse por solo US $ 10.
El acceso a la infraestructura era vendido por medio del protocolo RDP, protocolo que es propietario de Microsoft para el acceso remoto a sus ordenadores.
En lugar de comprar credenciales RDP, los investigadores utilizaron el motor de búsqueda Shodan para encontrar la dirección IP correcta de la máquina hackeada de Windows Server, cuya cuenta de administrador estaba a la venta, como se muestra en la captura de pantalla.
Cuando los investigadores llegaron a su pantalla de inicio de sesión a través de Windows RDP, encontraron dos cuentas de usuario más, que estaban "asociadas con dos compañías especializadas en seguridad aeroportuaria: una en seguridad y automatización de edificios, la otra en vigilancia de cámara y análisis de video.
Finalmente en el mercado negro se venden las credenciales a estos equipos que no están protegidos, cosa de que cualquier persona pueda ingresar a ellos y hacer uso malicioso. Particularmente los atacantes buscan en internet equipos que esten con el protocolo RDP abierto y posterior a esto con herramientas como Hydra, pueden lanzar ataques de fuerza bruta y hacerse de las credenciales del servidor.
Las ventajas para ciberdelincuentes es que al acceder a un equipo de terceros pueden:
Para los que tengan Firewall la idea es que cuando publiquen servicios a internet, solo publiquen los puertos necesarios para el servicio, y que todas las tomas de control para la administración remota de los equipos sea por medio de una VPN.
Mientras investigaba los mercados de hackers clandestinos, el equipo de McAfee Advanced Threat Research descubrió que el acceso vinculado a los sistemas de seguridad y automatización de edificios de un importante aeropuerto internacional podría comprarse por solo US $ 10.
El acceso a la infraestructura era vendido por medio del protocolo RDP, protocolo que es propietario de Microsoft para el acceso remoto a sus ordenadores.
En lugar de comprar credenciales RDP, los investigadores utilizaron el motor de búsqueda Shodan para encontrar la dirección IP correcta de la máquina hackeada de Windows Server, cuya cuenta de administrador estaba a la venta, como se muestra en la captura de pantalla.
Cuando los investigadores llegaron a su pantalla de inicio de sesión a través de Windows RDP, encontraron dos cuentas de usuario más, que estaban "asociadas con dos compañías especializadas en seguridad aeroportuaria: una en seguridad y automatización de edificios, la otra en vigilancia de cámara y análisis de video.
Finalmente en el mercado negro se venden las credenciales a estos equipos que no están protegidos, cosa de que cualquier persona pueda ingresar a ellos y hacer uso malicioso. Particularmente los atacantes buscan en internet equipos que esten con el protocolo RDP abierto y posterior a esto con herramientas como Hydra, pueden lanzar ataques de fuerza bruta y hacerse de las credenciales del servidor.
Las ventajas para ciberdelincuentes es que al acceder a un equipo de terceros pueden:
- Realizar ataques desde el servidor, involucrando las IP en temas legales
- Lanzar campañas de SPAM
- Realizar criptominado
- Desplazamiento horizontal
- Lanzar Campañas de Ransomware
Para los que tengan Firewall la idea es que cuando publiquen servicios a internet, solo publiquen los puertos necesarios para el servicio, y que todas las tomas de control para la administración remota de los equipos sea por medio de una VPN.
