UAS (Ultimate Anonymity Services), RDP bilgileri satılan platform üzerinden yaklaşık 1.3 milyon RDP giriş bilgileri satıldığı tespit edildi. Bu giriş bilgilerinin birçoğu önceki saldırılardan elde edilen kullanıcı adı ve parolalardan oluşmaktadır. RDP (Uzak Masaüstü Protokolü) kurum ağındaki sistemlere uzaktan veya yerel ağdan sisteme direkt erişim olanağı sağlamaktadır ve pandemi ile birlikte birçok kurum tarafından hızlı ve kolay erişim sağlaması sebebiyle kullanılmaktadır fakat büyük risk içerdiği geçtiğimiz yıllarda gerçekleşen saldırılarda da kendini göstermiştir.
Fidye saldırılarında da aktif olarak kullanılmaktadır hatta siber korsanlar piyasada açık olan ve kullanıcı adı parolasına sahip oldukları RDP giriş bilgilerini ortalama $ 3 ile $ 70 arası satmaktadır. FBI yaptığı araştırmalarda göstermiştir ki fidye saldırılarına yol açan ihlallerin ortalama %70 - %80 i RDP kaynaklıdır. Bilinen birçok fidye yazılım grupları sadece RDP üzerinden kurumların iç ağlarına erişim saldırıları gerçekleştirmektedir.
UAS üzerinde yapılan incelemelerde büyük bir ağın oluştuğu, burada satışa çıkarılmış RDP sunucuların, canlı olup olmadığı, bilgilerin güncel olup olmadığı, CPU, lokasyon, versiyon bilgisi, Download ve Upload Hızı gibi sunucular hakkında derinlemesine ve detaylı bilgi içermektedir. Bu platforma sızan güvenlik araştırmacılarının verdiği bilgilere göre 2018 'in sonundan bu yana 1.379.609 RDP hesabı, IP adresleri kullanıcı adı ve parola bilgilerini topladılar.
Bazı istatistikleri de burada paylaşacağız: - Yaklaşık 63 ülkeden devlet kurumları dahil birçok kuruma ait bilgi bulunmaktadır.
- En çok erişim bilgisi bulunan RDP sunucu lokasyonları Amerika Birleşik Devletleri, Çin, Brezilya, Almanya, Hindistan ve Birleşik Krallık'tır.
- Son 2 yılda fidye saldırısına uğramış birçok büyük kuruluş bilgileri de bu listede yeralmaktadır.
- RDP sunucu bilgisi en fazla sağlık sektöründen kuruluşları içermektedir.
- En çok kullanılan kullanıcı adları; 'Administrator', 'Admin', 'User', 'test', ve 'scanner'
- En çok kullanılan parolalar; '123456', '123', 'P@ssw0rd', '1234', ve 'Password1'.
|