Security Biz startet Website zur Benachrichtigung über RDP-Verletzungen

Cyber Security News

Eine Firma für Bedrohungsabwehr behauptet, Zugang zu 1,3 Millionen verletzten RDP-Servern und deren Zugangsdaten zu haben, die auf einer beliebten Dark-Web-Seite zum Verkauf angeboten wurden.

Das in New York ansässige Unternehmen Advanced Intelligence bietet einen neuen, kostenlosen Service an, mit dem betroffene Organisationen überprüfen können, ob ihre RDP-Server Teil des Fundes waren.

Ultimate Anonymity Services (UAS) ist seit etwa fünf Jahren im Dark Web aktiv und hat sich darauf spezialisiert, Zugang zu RDP-Servern zu ermöglichen. Es ist bekannt, dass es einer der größten und zuverlässigsten Marktplätze dieser Art ist.

Der Markt für diese Angebote ist im Laufe der Zeit explodiert, da Remote-Mitarbeiter die Microsoft-Lösung nutzen, um von zu Hause aus auf ihren Windows-Desktop im Unternehmen zuzugreifen.

Angriffe, die auf RDP abzielen, sind laut dem Q4 2020 Threat Report von ESET zwischen Q1 und Q4 letzten Jahres um 768 % gestiegen.

“Die [UAS] Marktplatz ist mit einer Reihe von hochkarätigen Sicherheitsverletzungen und Ransomware-Fällen auf der ganzen Welt verbunden. Es ist bekannt, dass eine Reihe von Ransomware-Gruppen anfänglichen Zugang zu UAS kaufen”, erklärt Advanced Intelligence.

“Dieser Schatz an Daten aus dem gegnerischen Raum bietet eine Linse in das Ökosystem der Cyberkriminalität und bestätigt, dass niedrig hängende Früchte, wie schlechte Passwörter und Internet-exponierte RDPs, eine der Hauptursachen für Sicherheitsverletzungen bleiben.”

Die neue RDPwned-Site des Unternehmens für Bedrohungsabwehr lädt betroffene Organisationen ein, eine Anfrage per E-Mail einzureichen, die dann vom Team manuell überprüft wird.

“Wir suchen gerne nach Ihnen und Ihrer Organisation auf der Grundlage von Reverse-DNS, IP-Adressen, Domänen oder eindeutigen Netzwerkattributen über die anschließende Antwort-E-Mail-Nachricht an die angegebene Kontakt-E-Mail-Adresse”, hieß es.

In der Zwischenzeit empfahl Advanced Intelligence Unternehmen, die Authentifizierung auf Netzwerkebene (NLA) zu aktivieren und wenn möglich eine Zwei-Faktor-Authentifizierung sowie starke und komplexe Passwörter zu verwenden.

Es riet auch RDP-Besitzern, sicherzustellen, dass ihre Umgebung frei von bekannten administrativen Konten mit bekannten Passwörtern ist, und sicherzustellen, dass RDP-Server nur Verbindungen von vertrauenswürdigen Quellen akzeptieren.

Unternehmen können auch den kostenlosen Service von Shadowserver nutzen, um zu prüfen, ob ihre RDP-Ressourcen dem Internet ausgesetzt sind.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com