Los mercados negros dentro de la Dark Web incluyen no solo drogas, sino que es una red oculta masiva en la que puedes comprar prácticamente todo lo que puedas imaginar relacionado con contenido ilegal. Ahora sale a la luz un caso de venta de acceso RDP por parte de RDP Shop.
RDP Shop vende acceso RDP por un precio de solo 10 dólares
RDP Shop es una plataforma de venta dentro de la Dark Web desde donde cualquiera puede comprar acceso RDP (protocolo de escritorio remoto) a miles de máquinas pirateadas por una pequeña tarifa. Los investigadores de seguridad del equipo de McAfee Advanced Threat Research descubrieron que alguien está vendiendo acceso remoto, vinculado a los sistemas de seguridad en un importante aeropuerto internacional por tan solo 10 dólares.
Te recomendamos la lectura de nuestro post sobre Cómo activar las actualizaciones de software automáticas en iOS 12
Los investigadores utilizaron el motor de búsqueda Shodan para encontrar la dirección IP correcta de la máquina hackeada de Windows Server, cuya cuenta de administrador estaba a la venta. Cuando los investigadores llegaron a su pantalla de inicio de sesión a través de Windows RDP, encontraron dos cuentas de usuario más, que estaban asociadas con dos compañías especializadas en seguridad aeroportuaria, una en seguridad y automatización de edificios, y la otra en vigilancia de cámara y análisis de video.
Los vendedores del mercado negro generalmente obtienen acceso a las credenciales de RDP, simplemente escaneando Internet para sistemas que aceptan conexiones RDP, y luego lanzan ataques de fuerza bruta con herramientas populares como Hydra, NLBrute o RDP Forcer para obtener acceso.
[irp]Como solución, las organizaciones deberían considerar tomar medidas de seguridad de RDP entre las que se incluyen deshabilitar el acceso a las conexiones RDP a través de Internet abierto, usar contraseñas complejas y autenticación de dos factores para hacer que los ataques de fuerza bruta sean más difíciles de lograr, y bloquear a los usuarios y bloquear las direcciones IP que tienen demasiados intentos fallidos de inicio de sesión.
