Große Sicherheitsfirmen wie McAfee oder Kaspersky scannen das Internet und auch das Darkweb ständig nach neuen Cyberbedrohungen und cyberkriminellen Angeboten. Kaspersky fand 2016 bereits einen ergiebigen Marktplatz für Remote-Desktop-Protokoll (RDP) Server im Untergrund. Kaum zwei Jahre später finden die Sicherheitsforscher von McAfee’s Advanced Threat Research Team eine noch viel bessere Auswahl an RDP-Shops im Darkweb.

Solche RDP-Shops sind Onlineplattformen, in denen speziell Zugriffe für Remote-Desktop-Protokol auf fremde Computersysteme zum Verkauf angeboten werden. Fragt man sich: Woher kommt denn das große Angebot? Brian Krebs von Krebs on Security schrieb bereits 2013 darüber, wie einfach es sei im Internet nach verfügbaren RDP-Verbindungen zu suchen. Mit ein wenig Aufwand und ein paar speziellen Tools ist schon bald eine große Auswahl aufgespürt. 2018 ist das Angebot laut McAfee wohl noch größer – und das, obwohl die Problematik schon lange erkannt ist. Ein großer Bonus dabei: RDP-Server werden nur von höheren Windowsversionen wie „Server“, „Professional“, „Enterprise“ usw. genutzt und nicht von „Home“, “Core“, “Starter“. Potenziell ergiebige Ziele sind daher schon fast selbstverständlich.

RDP wurde von Microsoft als proprietäres Protokoll entwickelt. Damit ist ein Fernzugriff von einem zu einem anderen Computer möglich. Viele Systemadmins nutzen RDP, aber auch Cyberkriminelle haben offensichtlich ihre Freude daran. Die SamSam-Gruppe hatte kürzlich nur 10 US-Dollar für einen RDP-Zugang gezahlt, darüber Ransomware aufgespielt und später ein schönes Sümmchen von 40.000 Dollar als Lösegeld verlangt. Und laut McAfee ist die Auswahl mittlerweile riesengroß. Im Darkweb gibt es kleine und große Shops. Zu den größten gehört der russische Ulitimate Anonymity Service mit über 40.000 RDP-Zugriffe im Angebot. Das McAfee Team hat diese Shops nun unter die Lupe genommen und viel Interessantes über die Vorgehensweise der Anbieter, die Produkte selbst und möglich Opfer herausgefunden.

Das gibt’s im Darkweb zu kaufen

RPD-Zugänge zu praktisch alle Windowssysteme bis Windows 10, Windows Embedded Standard, neuerdings Windows IOT, Systeme von Regierungen und Gesundheitseinrichtungen.

Die größte Auswahl gab es zu Windows 2008 und 2012. Preislich ging es schon bei 3 US-Dollar für einfachere Konfigurationen los bis hin zu (immer noch günstigen) 19 US-Dollar für Systeme mit höheren Admin-Rechten. Wiederverkäufer verkaufen manche RDP-Zugriffe in verschiedenen RDP-Shops. Solche RDP-Zugriffe sind also mehrfach im Angebot. So ganz nebenbei werden in den RDP-Shops auch Sozialversicherungsnummern, Kreditkartendaten und Logins für Online-Shops angeboten.

Übrigens geben einige RDP-Shop-Betrieber ihren Kunden noch Tipps, wie sie unerkannt bleiben können. Andere wie der UAS-Shop bieten eine Zip-Datei mit einem Patch, um Multi-User RDP-Zugriffe zu erstellen.

Kriminelles Potenzial mit RDP-Einkäufen

RDP-Zugriffe bieten sich gut zur Irreführung an. Von Kriminellen ausgeführte Angriffe hinterlassen den Eindruck, dass das Opfer selbst den Angriff ausgeführt hat. Das macht den Strafverfolgungsbehörden die Aufgabe schwer. Daher wird diese Möglichkeit von Angreifern gerne genutzt.

Manche Spammer mögen RDP-Zugriffe um den Massenversand von Spammail zu versenden. Kostenloser Kundenservice gibt’s dazu in den Shops in Form von Blacklist-Prüfungen.

Der simple Zugang zu Daten ermöglicht im Prinzip alle Formen des Datenmissbrauchs bis hin zur Erpressung.

Neuerdings werden kompromittierte RDP-Maschinen zum Cryptomining verwendet.

Das McAfee Team wollte es genau wissen

Ist es eigentlich möglich, mit einem RDP-Shop ein hochwertiges Opfer zu finden? Die Forscher suchten im Ultimate Anonymity Service Shop nach offenen RDP-Ports. Die ersten 65.536 Ergebnisse schränkten sie auf drei wesentliche ein, alle kosteten so um die 10 US-Dollar. Für diesen Preis gibt es dann die fehlenden Ziffern der IP-Adresse des Opfers. Es gelang dem McAfee Team allerdings, die vollständige IP-Adresse selbst ausfindig zu machen und in dessen WHOIS-Daten einzusehen. Ziemlich beängstigend – sie gehörte zu einem großen amerikanischen Flughafen!

Einfache Sicherheitsmaßnahmen zum Schutz vor RDP-Missbrauch

Das McAfee Team empfiehlt die Sicherheit für RDP-Zugriffe unbedingt hoch anzusetzen. Das ist gar nicht so aufwendig wie gedacht:

• komplexere Passwörter erstellen
• Zweifaktorauthentifizierung nutzen
• keine RDP-Zugriffe über das Internet erlauben
• Ereignisprotokolle regelmäßig auf ungewöhnliche und häufige Anmeldeversuche überprüfen – Benutzer-IPs sperren und blockieren
• Möglichst Accountnamen nutzen, die keine Unternehmensdetails preisgeben
• Alle Netzwerksysteme auflisten, wie sie verbunden sind und durch welche Protokolle auch bei IoT und POS-Systeme.

Artikel von securingtomorrow.mcafee.com, 11.07.2018: Organizations Leave Backdoors Open to Cheap Remote Desktop Protocol Attacks
Artikel von theregister.co.uk, 12.07.2018: What can $10 stretch to these days? Lunch… or access to international airport security systems
Artikel von darkreading.com, 11.07.2018: Major International Airport System Access Sold for $10 on Dark Web
Artikel von heise.de, 15.06.2018: Ab zwei Dollar: Über 70.000 RDP-Server auf Untergrund-Marktplatz im Angebot

Urheberrechte Beitragsbild: shutterstock.com