Blog

Cybercriminels et RDP : aperçu du marché noir de l'accès aux postes de travail à distance

accès au bureau à distance au marché noir

Les marchés illicites vendant l’accès à des postes de travail distants piratés dans le monde entier prospèrent à la fois sur le dark web et sur le clear web. L'accès RDP donne à un attaquant un contrôle total sur un PC distant avec presque aucune limitation. Cela fait de l’accès RDP une cible attrayante pour les pirates. Des serveurs RDP piratés peuvent être trouvés en vente par milliers sur les forums et les marchés de hackers.

Les prix des serveurs RDP (Remote Desktop Protocol) piratés varient énormément. Dans une nouvelle analyse de l'accès au RDP sur le marché noir, les chercheurs de Comparitech ont trouvé des offres allant de 30 cents à plus de 10 000 $. La différence de prix dépend des spécifications du PC distant, de son emplacement, de ce qu’il contient et de ce à quoi il a accès. En moyenne, les prix se situent entre 3 et 4 dollars. rdp à vendre Par exemple, les chercheurs de Comparitech ont trouvé un fournisseur vendant l'accès RDP dans un pays donné pour 1,50 $. Les PC distants ne contiennent probablement rien de précieux, mais ils peuvent toujours être utilisés pour des cyberattaques. Le vendeur garantit l'accès pendant au moins 48 heures.

Les chercheurs de Comparitech ont découvert que les pays possédant le plus de serveurs RDP sont les États-Unis, la Chine, le Canada et l’Allemagne.

annonces RDP

En janvier 2019, les autorités américaines en Floride saisi et fermé xDedic, un marché qui a facilité plus de 68 millions de dollars de fraude. Kaspersky Lab trouvé le site a acheté et vendu l'accès à plus de 70 000 serveurs piratés dans le monde entier. Les victimes provenaient des gouvernements locaux, étatiques et fédéraux, des infrastructures, des hôpitaux, des services d'urgence, des centres d'appels, des autorités de transport, des cabinets comptables, des cabinets d'avocats, des fonds de pension et des universités. xdédic

Bien que xDedic ait désormais disparu, la vente et l'abus d'identifiants RDP volés sont encore trop courants en ligne, ont découvert les chercheurs de Comparitech.

Les fournisseurs sur les marchés RDP commencent parfois par proposer des cadeaux RDP gratuits sur les réseaux sociaux, les forums darknet et les salons de discussion. Cela leur permet de bâtir rapidement une réputation et une clientèle.

Qu'est-ce que le protocole de bureau à distance (RDP) ?

Outil RDP-Windows

RDP, abréviation de Protocole de bureau à distance , permet à un ordinateur d’en contrôler un autre via une connexion réseau. Avec RDP, un ordinateur (le client) peut voir l'affichage et contrôler les entrées d'un autre ordinateur (le serveur) via Internet comme s'il se trouvait juste devant lui. Développé par Microsoft, RDP est l'un des outils les plus courants pour contrôler des machines distantes.

Les serveurs (ordinateurs Windows et serveurs sur lesquels le protocole Bureau à distance est installé et activé) peuvent appartenir à des consommateurs ou à des organisations, mais ce dernier est beaucoup plus courant. Les entreprises utilisent RDP pour permettre aux employés distants d'accéder aux appareils, aux réseaux, aux applications et au stockage de l'entreprise, entre autres utilisations.

Pourquoi le piratage RDP est si dangereux

Supposons que votre bureau dispose d'un PC Windows sur lequel le protocole Bureau à distance est installé et activé. Il permet aux employés distants de se connecter à partir de leurs propres appareils afin de pouvoir accéder aux applications, fichiers et autres ressources réservés au bureau. Alors que la pandémie de COVID-19 oblige de plus en plus de personnes à travailler à distance, ce scénario est de plus en plus courant.

Un attaquant parvient à trouver le nom d’utilisateur et le mot de passe pour l’accès RDP du PC Windows (plus d’informations sur la manière dont les pirates procèdent ci-dessous). Ils peuvent désormais se connecter à distance au PC et l'utiliser comme s'ils étaient un employé. L'attaquant peut voler des fichiers, installer des logiciels malveillants et utiliser la machine comme proxy pour mener des opérations de spam et de fraude.

Voici quelques exemples d'attaques menées via RDP :

  • Fraude PayPal, eBay et Amazon
  • Le vol de données
  • Renifler le trafic réseau à la recherche de données précieuses telles que les numéros de carte de crédit
  • Infecter les appareils sur le réseau du serveur avec un ransomware
  • Cryptominage
  • Botnets et attaques par déni de service distribué
  • Fraude au jeu
  • Escroqueries aux rencontres

De plus, si le PC distant est connecté aux comptes des sessions précédentes ou si la saisie semi-automatique est activée sur les formulaires de connexion, l'attaquant peut désormais accéder à tous ces comptes. PayPal, Ebay, Amazon et les sites de jeux d'argent sont tous des cibles courantes, mais les pirates informatiques profiteront de tout ce qu'ils peuvent trouver sur le PC distant. Les cybercriminels achètent souvent un accès RDP dans un emplacement proche de leur victime pour contourner les restrictions de localisation sur ces sites. Les criminels peuvent acheter des produits et s’envoyer de l’argent, souvent via des mules afin que leurs transactions ne puissent pas être retracées.

Dans une entreprise, un seul serveur RDP peut contrôler plusieurs sites Web ou autres services, ce qui pourrait permettre à l'acheteur de détecter les numéros de carte de crédit, d'accéder aux bases de données des utilisateurs et de lancer des attaques sur d'autres appareils sur le réseau local du serveur. Un accès fiable à un tel serveur pourrait être extrêmement précieux.

Comment les attaquants piratent-ils RDP ?

Trouver des serveurs RDP est facile. Des outils disponibles gratuitement tels que Shodan.io, ZoomEye et Censys peuvent analyser le Web à la recherche des ports et protocoles généralement utilisés par RDP.

Nos chercheurs ont mis en place un serveur Honeypot RDP pour connaître la fréquence et les types d'attaques effectuées sur les serveurs RDP. En 24 heures, le serveur a enregistré :

  • 12 000 demandes d'analyse
  • 850 tentatives de force brute
  • 30 verrouillages durs (verrouillages permanents)
  • 300 verrouillages logiciels (délai d'attente temporaire)
  • 25 contrôles d'exploitation

Les contrôles d'exploitation consistaient principalement en des pirates informatiques recherchant des vulnérabilités connues et des commandes de reconnaissance.

Les pirates disposent de plusieurs méthodes pour obtenir un accès non autorisé à un serveur RDP :

  • Pulvérisation de mots de passe : quelques mots de passe courants sont tentés sur des millions d’adresses IP. Il s’agit de l’attaque la plus fréquente enregistrée par nos chercheurs.
  • Attaques par force brute par dictionnaire sur une seule plage IP : les pirates tentent de saisir de nombreux mots de passe sur une plage d'adresses IP où résident plusieurs serveurs RDP.
  • Exploitation des vulnérabilités connues : les versions non corrigées de Windows contiennent des failles de sécurité comme BlueKeep, qui permettent, entre autres attaques, l'exécution de code à distance.
  • Empoisonnement ARP : dans un réseau local déjà piraté, l'attaquant peut trouver et accéder à davantage de serveurs RDP en usurpation d'ARP messages.
  • Logiciel malveillant voleur : type de cheval de Troie qui enregistre les informations d'identification d'accès aux serveurs RDP, entre autres cibles, puis exfiltre les informations d'identification vers l'attaquant.

Les pirates n’ont pas besoin de repartir de zéro lorsqu’ils tentent d’obtenir un accès non autorisé aux serveurs RDP. Les usurpateurs ARP, les kits d’exploit et les forceurs brutaux RDP sont disponibles à la fois sur le Web clair et sur le Dark Net.

force brute RDP

Les attaquants souhaitent conserver le contrôle d’un serveur RDP compromis le plus longtemps possible. Pour ce faire, ils utilisent un casier.

casier rp

Un casier est un script shell Windows qui ferme toutes les applications sur le serveur et ne permet pas au client de visualiser le serveur tant qu'un mot de passe n'est pas saisi. Étant donné que les serveurs RDP vulnérables peuvent être trouvés et attaqués par n'importe qui, les casiers empêchent d'autres pirates de pirater un serveur RDP déjà piraté. Certes, les pirates chevronnés peuvent facilement contourner les casiers avec des attaques par débordement de tampon, en forçant brutalement le mot de passe ou en supprimant le casier via l'invite de commande.

Comment détecter et prévenir les attaques sur RDP

Les chercheurs de Comparitech conseillent aux individus et aux organisations utilisant RDP de surveiller, voire de limiter, les adresses IP pouvant se connecter à un serveur RDP. Les administrateurs doivent vérifier régulièrement les journaux RDP pour détecter les connexions d'utilisateurs inconnus.

Pour y parvenir, nos chercheurs recommandent RdpLun , un outil gratuit et open source qui affiche les connexions RDP passées et en temps réel. Le programme enregistre les adresses IP sources, le nombre de réussites et d'échecs, les connexions, les sessions actives et passées, les processus exécutés, etc.

rdpmon

Un autre outil utile est Cyberarmes . Il s’agit d’un logiciel de détection et de défense contre les intrusions (IDDS) qui bloque les attaques par force brute sur les serveurs RDP, entre autres cibles.

cyberarmes

D'autres conseils pour protéger votre serveur RDP incluent :

  • Utilisez des mots de passe forts, longs et uniques
  • Changez le numéro de port par défaut en 3389
  • Gardez votre serveur RDP à jour

Les chercheurs de Comparitech concluent que la vente d’identifiants RDP piratés est un problème persistant et sous-estimé.

^