Categories: Sicherheit

Darknet: Hacker verkaufen RDP-Zugang von Flughafen-Server

Forscher des Advanced Threat Research-Teams von McAfee haben herausgefunden, dass Zugangsberechtigungen für Sicherheits- und Gebäudeautomationssysteme von einem großen internationalen Flughafen für nur 10 Dollar im Darknet verkauft werden. Die Flughafen-Administratoren haben die Authentizität der Zugangsdaten bestätigt und das Sicherheitsleck geschlossen. Um welchen Flughafen es sich dabei handelt, teilt McAfee nicht mit.

McAfee hat zahlreiche RDP-Shops im Darknet gefunden, die Zugangsdaten für entsprechende Server verkaufen (Bild: McAfee).

Die gestohlenen Zugangsdaten wurden für das Remote Desktop Protocol (RDP) des Flughafens verwendet, das den Mitarbeitern ermöglicht, von außerhalb des lokalen Netzwerks auf bestimmte Computer zuzugreifen. RDP-Anmeldeinformationen sind unter Cyberkriminellen sehr begehrt, denn dadurch muss ein Angreifer keine ausgeklügelte Phishing-Kampagne erstellen, in die Verschleierung von Malware investieren, ein Exploit-Kit verwenden oder sich um die Abwehr von Securitytools kümmern. Sobald Angreifer Zugang erhalten, sind sie im System. Es ist nicht das erste Mal, dass gestohlene RDP-Zugangsdaten im Darknet angeboten werden. Seit Jahren wird dabei Malware wie die SamSam-Ransomware eingesetzt.

Bleiben Sie in Kontakt mit ZDNet.de

ZDNet-Newsletter

Täglich alle relevanten Nachrichten frei Haus.

Jetzt anmelden!

Es ist immer noch unklar, wie die Hacker die Anmeldeinformationen des Flughafens erhalten haben. McAfee geht von einer Brute-Force-Attacke aus, bei der Passwörter solange ausprobiert werden, bis ein Login erfolgreich war. Brute-Force-Angriffe auf RDP-Logins sind weit verbreitet und dank verfügbarer Tools sehr leicht durchzuführen. Angreifer scannen damit das Internet nach Systemen, die RDP-Verbindungen akzeptieren und starten einen Brute-Force-Angriff mit gängigen Tools wie Hydra, NLBrute oder RDP Forcer, um an die Zugangsdaten zu kommen. Diese Tools kombinieren Passwort-Wörterbücher mit einer enormen Anzahl von Anmeldeinformationen, die Hacker immer wieder erbeuten.

Dabei lassen sich derartige Angriffe leicht verhindern. Administratoren müssten einfach die Möglichkeit nutzen, die Anzahl der Eingabeversuche zu beschränken. Und nur selten nutzen Administratoren laut McAfee Techniken wie eine Zwei-Faktor-Authentifizierung, bei der die Zugangsdaten des RDP-Logins alleine nicht ausreichen, um sich anzumelden.

Neben dem Flughafen hat McAfee weitere Angebote von RDP-Logins im Darknet gefunden. „Wir sind auch auf mehrere Regierungssysteme gestoßen, die weltweit verkauft werden“, heißt es in McAfee’s Post, „[darunter] Dutzende von Verbindungen zu Gesundheitseinrichtungen, von Krankenhäusern und Pflegeheimen bis hin zu Anbietern von medizinischer Ausrüstung. Die betroffenen Systeme umfasssen sämtliche Windows-Versionen. Windows 2008 und 2012 Server waren mit rund 11000 respektive 6500 verkauften Systemen am häufigsten vertreten. Die Preise reichen von etwa 3 Dollar für eine einfache Konfiguration bis hin zu 19 Dollar.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago