Los mercados negros en la web oscura no son conocidos solo
por comprar drogas, es una red oculta masiva en la que puedes comprar
prácticamente todo lo que puedas imaginar, desde pornografía, armas y monedas
falsificadas, hasta herramientas de hacking, exploits, malware y zero-days.
Uno de esos lugares del mercado clandestino en la Dark Web
es RDP Shop, una plataforma desde donde cualquiera puede comprar acceso RDP
(protocolo de escritorio remoto) a miles de máquinas pirateadas por una pequeña
tarifa. Mientras investigaban varias tiendas RDP subterráneas, los
investigadores de seguridad del equipo de McAfee Advanced Threat Research
descubrieron que alguien está vendiendo acceso remoto vinculado a sistemas de
seguridad en un importante aeropuerto internacional por tan solo $ 10.
Según los investigadores, los vendedores del mercado negro
generalmente obtienen acceso a las credenciales de RDP simplemente escaneando
Internet para sistemas que aceptan conexiones RDP, y luego lanzan ataques de
fuerza bruta con herramientas tan populares como Hydra, NLBrute o RDP Forcer para
obtener acceso.
Y una vez que los atacantes inician sesión con éxito en el ordenador
remoto, no hacen nada excepto poner los detalles de la conexión a la venta en
la Web Oscura.
Cualquiera que compre acceso a tales máquinas puede moverse
lateralmente dentro de la red, crear puertas traseras, modificar
configuraciones, instalar malware y robar datos.
Como solución, las organizaciones deberían considerar tomar
medidas de seguridad de RDP necesarias, tales como:
- Deshabilitar el acceso a las conexiones RDP a
través de Internet abierto. - Uutilizar contraseñas complejas y autenticación
de dos factores para hacer que los ataques RDP de fuerza bruta sean más
difíciles de lograr, - Bloquear a los usuarios y bloquear las
direcciones IP que tienen demasiados intentos fallidos de inicio de sesión.