Рейнджеры, воры и барды: не ролевая игра, а реальные хакеры в действии.
В течение последних трёх лет киберпреступники, пытаясь украсть данные или развернуть вредоносное ПО, случайно натыкались на виртуальную машину-приманку (honeypot, ханипот), размещенную в США. Несмотря на наличие легко взламываемого пароля, машина была не просто компьютером, а мониторинговой системой, позволяющей следить за действиями хакеров в реальном времени.
Каждый раз, когда киберпреступник проникал в систему, исследователи GoSecure могли наблюдать и анализировать действия хакера. Более 100 часов записей с экрана, которые были сделаны в течение взломов, дали исследователям уникальный взгляд на методы и инструменты, используемые хакерами. Самое интересное в исследовании – некоторые преступники случайно раскрыли свои инструменты, методы и даже личную информацию.
Исследование , представленное на конференции Black Hat в Лас-Вегасе, показало, как злоумышленники используют протокол удаленного рабочего стола (Remote Desktop Protocol, RDP). За 3 года было зафиксировано 21 млн. попыток входа, из которых 2600 были успешными. Исследователи классифицировали злоумышленников на пять категорий, основываясь на персонажах из настольной игры Dungeons and Dragons (Подземелья и Драконы):
Специалисты GoSecure классифицировали злоумышленников на 5 основных категорий.<ul><li>Рейнджеры: исследовали систему, не предпринимая активных действий;</li>
</ul><ul><li>Варвары: активно использовали инструменты для попыток взлома других систем, такие как Masscan и NLBrute;</li>
</ul><ul><li>Волшебники: использовали RDP как портал для атак на другие уязвимые системы;</li>
</ul><ul><li>Воры: пытались монетизировать свой доступ, устанавливая криптомайнеры;</li>
</ul><ul><li>Барды: наименее определенная группа, действовавшая случайно или без определенной цели. Эксперты отмечают, что некоторые барды, возможно, купили доступ к RDP и использовали его с разными целями. Например, один из таких злоумышленников через RDP искал в Google «самый мощный вирус», а другой пытался войти в Google Ads. Также были и те, кто безуспешно пытался найти порнографию в интернете.</li>
</ul>Особое внимание исследователи уделили тому, как часто системы RDP становятся объектом атак. Один из экспертов в области безопасности отметил, что попытки взлома происходили каждые 7 секунд. В заключение, эксперты GoSecure призывают компании устанавливать подобные ловушки, чтобы лучше понимать угрозы и укреплять свои системы кибербезопасности.