Onderzoekers hebben een botnet van duizenden computers ontdekt dat kassasystemen van winkels via zwakke RDP-wachtwoorden probeert te kapen. Het Remote Desktop Protocol (RDP) maakt het mogelijk om op afstand op computers in te loggen en ze te beheren.
De computers van het botnet scannen naar systemen waar RDP is ingeschakeld en proberen via wachtwoorden als P@ssw0rd, password, Passw0rd, passw0rd en andere varianten in te loggen. Is de login succesvol, dan wordt er malware geïnstalleerd die naar kassasystemen in het netwerk zoekt. De malware kan vervolgens de gegevens van creditcards die via deze kassasystemen worden verwerkt opslaan en naar de criminelen terugsturen.
Met de gestolen creditcardgegevens kan vervolgens worden gefraudeerd. Het is onduidelijk hoe de malware, die BrutPOS wordt genoemd, zich verspreidt. Beveiligingsbedrijf FireEye denkt dat de partij achter deze malware mogelijk de diensten van andere cybercriminelen hiervoor gebruikt. In totaal werden 5600 besmette computers aangetroffen, wat in vergelijking met andere botnets een klein aantal is.
Volgens FireEye hebben veel organisaties RDP ingeschakeld, wat het een interessante aanvalsvector voor aanvallers maakt. Om aanvallen op RDP te voorkomen wordt geadviseerd om slechts een beperkt aantal inlogpogingen toe te staan, de authenticatielogbestanden op mislukte of herhaaldelijke inlogpogingen te monitoren, het standaard inloggen via RDP op systemen uit te schakelen en het gebruik van gedeelde of groepsaccounts te verwijderen of beperken.
Deze posting is gelocked. Reageren is niet meer mogelijk.