Seguridad

Cuanto cuestán las claves RDP (Remote Desktop Protocol) de Windows?

Precios de credenciales RDP dependiendo de el origen más frecuente de tales credenciales en el mercado de la UAS DarkNet

Daniel

8 min read
Cuanto cuestán las claves RDP (Remote Desktop Protocol) de Windows?

¿Cuánto cuesta comprar estás claves en la Darknet ?

Aproximadamente desde los 3 dólares dicen los investigadores de seguridad.

Una medida del desafío de detener los ataques en línea es la asequibilidad y el gran volumen de productos y servicios disponibles para cualquier persona que quiera robar dinero de las víctimas utilizando medios en línea. Esta economía de cibercrimen como servicio ofrece incluso a los atacantes no calificados la posibilidad de convertirse en un ciberdelincuente generador de ganancias.

"El crimen como servicio es uno de los desarrollos más preocupantes en los últimos años", dice a través de Twitter Alan Woodward, un profesor de informática y experto en cibercrimen. "Se está poniendo muy feo".

La "economía del servicio clandestino profesional" de hoy no solo está siendo aprovechada por piratas informáticos de bajo nivel, sino también por "mafias organizadas", afirma Rob Wainwright, director ejecutivo de Europol, la agencia de inteligencia policial de la UE.

Los mercados de Darknet están proporcionando a los delincuentes "acceso, entre otras cosas, a datos financieros comprometidos para cometer diversos tipos de fraude de pagos, armas de fuego, documentos falsificados para facilitar el fraude, la trata de personas y la inmigración ilegal", dice el informe de Europol. "En comparación con los productos de mercado de red oscura más establecidos, como las drogas, la disponibilidad de herramientas y servicios de cibercrimen en la red oscura parece estar creciendo más rápidamente".

Mercados principales

Es un mercado de compradores de servicios de delito cibernético. Dos de los principales mercados de credenciales de protocolo de escritorio remoto robadas son UAS - para "Ultimate Anonymity Services" - que han existido durante dos años, así como xDedic, un foro de idioma ruso iniciado en 2014 ahora accesible solo mediante el uso del navegador anonimizado Tor. según la firma de inteligencia de amenazas con sede en Nueva York Flashpoint.

Las credenciales RDP brindan a los atacantes una forma de obtener acceso remoto a un entorno corporativo, tras lo cual pueden moverse lateralmente a través de una red en busca de propiedad intelectual o sistemas cryptolock y exigir un rescate.

"No conocemos el volumen de ventas, pero lo que investigamos, especialmente para las credenciales de RDP para la venta, fue la charla sobre el delito cibernético en nuestro conjunto de datos para ver en cuál de esas dos tiendas estaban hablando más", Liv Rowley, analista de inteligencia en Flashpoint. "Y encontramos que la charla sobre xDedic, que es la más cara, estaba disminuyendo, mientras que la charla sobre UAS estaba subiendo".

Precios variables

El precio de los bienes y servicios puede variar ampliamente entre los foros. En UAS, el costo de una credencial de RDP varió de 3 dólares a 15 dólares.

Rdp Precios

Las credenciales de RDP para la venta en UAP (los precios se muestran en la columna de la extrema derecha) cuestan en promedio 10 dólares cada una.

Pero por razones que no están claras, dice Rowley de Flashpoint, xDedic es mucho más costoso: 10 dólares fue el precio mínimo de una credencial RDP robada y algunos se vendieron por hasta 100 dólares.

Rdp Precios Darknet

Las credenciales de RDP para la venta en xDedic son mucho más caras (los precios se muestran en la columna de la extrema derecha) que en UAS.

En una posible pista sobre quién está ejecutando UAS, disponible tanto en inglés como en ruso, el sitio no ofrece ninguna credencial de RDP para organizaciones de la "Comunidad de Estados Independientes", que se formó cuando la ex Unión Soviética se disolvió en 1991.

Servicios de cibercriminales seleccionados a la venta

Independientemente de quién esté dirigiendo un foro en la Darknet Web dado, hay algunas ofertas comunes, que incluyen armas de fuego, narcóticos ilegales y productos y servicios de ciberdelincuencia de myraid. Aquí hay una selección de este último:

  1. Cuentas bancarias

Las cuentas bancarias pirateadas se venden en foros clandestinos a un precio que se relaciona con el saldo disponible de una cuenta, dice Rowley. "Las cuentas bancarias comprometidas tienen un precio como porcentaje de cuánto está en la cuenta". "Entonces puede que tenga una cuenta bancaria que contenga 1,000 dólares que se ofrece por 90 dólares, y otra con 25,000 dólares en la cuenta y se le ofrece por 390 dólares". La mayoría de las cuentas bancarias robadas se encuentran en los Estados Unidos, Gran Bretaña, Australia y Europa occidental.

  1. Troyanos bancarios

"Una licencia de troyano bancario es uno de los elementos más costosos para una campaña de ciberdelincuentes y se puede obtener de desarrolladores profesionales de malware por 3,000 dólares 5,000 dólares", dice en una publicación de blog Andrei Barysevich, investigador de la empresa de inteligencia de amenazas con sede en Boston Recorded Future.

El troyano debe personalizarse con inyecciones web diseñadas para clientes de bancos específicos. Inyectar HTML en las páginas web permite a los atacantes hacer que un usuario vea como si estuviera navegando en un sitio, cuando en realidad un atacante podría estar transfiriendo todos sus ahorros a otro banco.

Un conjunto de credenciales de inyección web diseñadas para apuntar a una institución financiera específica cuesta entre 150 dólares y 1,000 dólares, según Recorded Future. "En el último año, hemos visto un aumento significativo en el costo de las inyecciones web dirigidas a las instituciones canadienses, ofrecidas en el nivel superior del espectro de precios, mientras que el costo del malware dirigido a los bancos estadounidenses sigue siendo el mismo" dice Barysevich.

  1. Bulletproof Hosting

Los llamados servicios de alojamiento Bulletproof ofrecen servidores con alto tiempo de actividad y disponibilidad, mientras que prometen hacer pocas preguntas, si alguna, sobre cómo se usan los servidores. Se pueden usar para manejar datos exfiltrados, por ejemplo, cuentas en línea y credenciales bancarias, desde computadoras infectadas con malware. Recorded Future dice que la mayoría de estos servicios se obtienen de hosts en China, Medio Oriente o Europa del Este y cuestan entre 150 dólares y 200 dólares mensuales.

  1. Pasaportes falsificados y documentos de identidad

Los foros de la Darknet venden pasaportes ilícitos de EE. UU. Y otros tipos de documentos de identidad en tres formas, dice Rowley: escaneos digitales, plantillas y versiones físicas de los documentos de viaje. No obstante, queda por probar si tales documentos resistirían el escrutinio de la policía o los agentes de aduanas. Pero los documentos se obtienen a menudo para ayudar con los esfuerzos que hacen los cibercriminales para lavar el dinero, dicen los expertos.

pasaporte-darknet
Un foro de darknet anuncia pasaportes físicos de EE. UU. Por 2,980 dólares.

  1. Exploit Kits

Estos kits de herramientas de ataque automatizados permiten que incluso los delincuentes poco cualificados entreguen malware, incluidos ransomware y troyanos bancarios, en puntos finales. La gran mayoría se alquila bajo demanda, en lugar de venderse directamente, según Flashpoint, que dice que las tarifas de alquiler normalmente oscilan entre 80 dólares a 100 dólares por día, de 500 dólares a 700 dólares por semana y de 1,400 dólares a 2,000 dólares por mes

  1. Fullz

Los defraudadores pueden usar estos conjuntos completos de información de identificación personal (PII) para phishing, robo de identidad y otros ataques. Cada vez más, esta información se vende según la solvencia de un individuo, dice Rowley.

"Al analizar los precios de fullz, descubrimos que muchas veces los ciberdelincuentes organizan sus puntos completos por puntajes de crédito, lo que significa que han comprometido esa información o más que probable que estén tomando esa información y obteniendo informes de crédito de todas las personas comprometidas y luego lo han organizado por calificación crediticia "

  1. Money Mules

Convertir las credenciales de cuentas bancarias robadas en dinero en efectivo requiere múltiples pasos, dice Barysevich, que generalmente incluyen el uso de mulas de dinero para retirar dinero en efectivo o recibir transferencias en efectivo

"El perpetrador tiene que trabajar con una cadena de manipuladores de mulas y de intermediarios de lavado de dinero para recibir un pago final", dice. "Un blanqueador de dinero con una reputación estelar es capaz de cambiar rápidamente el dinero y cobrará entre un 50% y un 60% de comisión por cada pago transferido de la cuenta de la víctima. En algunos casos, se podría requerir una comisión adicional del 5 al 10% para lavar los fondos y entregarlo al operador principal a través del método de pago preferido, como bitcoin, Web Money o Western Union".

Las transferencias de dinero también pueden requerir confirmación, que puede ser provista por un servicio de llamadas, con un costo de 10 dólares a 15 dólares por llamada, aunque se puede requerir documentación adicional, dice Barysevich. Esto también puede ser provisto por otros proveedores como un servicio. "Una licencia de conducir falsificada puede ser entregada dentro de varias horas por 25 dólares, mientras que una selfie de video más sofisticada costará entorno a 100 dólares"

  1. Datos de la tarjeta de crédito

Muchas tiendas de la Darknet venden "tarjetas", también conocidas como "dumps", que "a menudo provienen directamente de terminales de punto de venta infectados", dice Rowley. Esta información puede convertirse ilícitamente en dinero en efectivo utilizando mulas de dinero y servicios de transferencia de dinero.

  1. Servidores RDP

Mencionado anteriormente, los servidores que ejecutan el protocolo de escritorio remoto para el cual se han adivinado o descifrado las credenciales proporcionan un punto de entrada fácil en las redes empresariales. Más allá de la intrusión inicial para verificar que las credenciales RDP cosechadas funcionen, estas credenciales pueden venderse a otros compradores para robar material de la empresa protegido por la propiedad intelectual antes de terminar con un ataque de ranwnsonware con rescate en criptomonedas, entre otras posibilidades.

Gráfica robo de rdp

Las menciones de "RDP" observadas por Flashpoint en la primera mitad del año pasado alcanzaron su punto máximo en julio de 2017.

  1. Servicios de Stresser / Booter

Los servicios DDoS bajo demanda permiten a los delincuentes interrumpir sitios web de su elección. "Un ataque a un sitio web normal suele ser de solo 10 dólares por hora, mientras que un ataque a un sitio web que emplea protecciones básicas contra ataques DDoS es típicamente de 25 dólares por hora", dice Rowley. "Los servicios de DDoS por alquiler más costosos son para ataques dirigidos a sitios web gubernamentales, militares o bancarios, que van desde 100 dólares a 150 dólares por hora".

Cerrar el acuerdo

En la revisión de Flashpoint de la cháchara del cibercrimen se encontró que los despliegues de la ley del año pasado de los mercados de darknet de AlphaBay y Hansa han dejado a muchos compradores y vendedores asustados.

"Toda la Darknet está cambiando ahora mismo y lo será por un tiempo", dice Rowley. "En términos de charla, la gente está muy, muy nerviosa".

Escucha la entrevista en Souncloud

Liv Rowley, analista de inteligencia de la empresa de investigación de amenazas Flashpoint, habla sobre cómo los proveedores de servicios de cibercrimen como servicio están reaccionando a los despliegues de 2017 de los mercados de darknet de AlphaBay y Hansa.

Muchos usuarios de esots foros en la Darknet parecen estar alejándose de estos tipos de operaciones centralizadas y adoptando otras opciones, como las aplicaciones de mensajería cifradas, dice Rowley. "Hemos visto que las plataformas de chat se utilizan para las ventas, lo que es interesante, y también las transacciones individuales entre un comprador y un vendedor. Alguien podría publicar algo y decir: 'Dame un toque en Wickr' o cualquier otro tipo de plataforma de comunicación que podrían usar para concluir la venta".

El uso de aplicaciones y servicios de marca para vender servicios de cibercrimen es una tendencia creciente. "La aplicación de la ley es testigo de una transición hacia el uso de aplicaciones seguras y otros servicios por parte de delincuentes en todas las áreas delictivas", señala Europol en su informe IOCTA. "La mayoría de las aplicaciones utilizadas son las marcas de todos los días populares entre la población en general".

Otros están comenzando sus propias tiendas. "Hemos visto un aumento en las tiendas personales que están subiendo", dice Rowley. "Un delincuente instalará una tienda, dirá que ya no usará una tienda centralizada, si quiere hacer negocios conmigo, me visita; no hay un tercero involucrado".