El proyecto Heisenberg de Rapid 7 revela credenciales robadas más utilizadas por los hackers
Las contraseñas más populares que los hackers utilizan en su intento de irrumpir en los sistemas de TI se han puesto al descubierto por la empresa de seguridad Rapid 7.
‘X’ encabeza la lista de las 10 contraseñas más comunes de probar por hackers, y es seguido por Zz, St@rt123, 1, P@ssw0rd, bl4ck4ndwhite, admin, ……., y administrator.
password |
count |
percent |
x |
11865 |
5.36% |
Zz |
10591 |
4.79% |
St@rt123 |
8014 |
3.62% |
1 |
5679 |
2.57% |
P@ssw0rd |
5630 |
2.55% |
bl4ck4ndwhite |
5128 |
2.32% |
admin |
4810 |
2.17% |
alex |
4032 |
1.82% |
……. |
2672 |
1.21% |
administrator |
2243 |
1.01% |
Esto es según el último documento de Rapid 7, The Attacker’s Dictionary -Diccionario del atacante-, que la empresa dio a conocer en la Conferencia RSA 2016.
Se centra particularmente en ataques de credenciales en sistemas de punto de venta (POS), kioscos, y PC comprometidos con scareware que ofrecen el protocolo de escritorio remoto (RDP) para la gestión remota, conectado a Internet.
“Nos esperábamos ver un flujo de ‘malas’ contraseñas, tales como contraseñas de administrador por defecto, porque eso sucede todo el tiempo. Normalmente usted tiene en su lista las diez primeras, que se inicia con ‘password’ y probablemente termina con ‘starwars’. Estas contraseñas son mucho peores que esas”. Dijo Todd Beardsley, gerente senior de investigación de seguridad de Rapid 7
Los nombres de usuario eran igual de inseguras, con las diez más activas: administrator, Administrator, usuario1, admin, Alex, pos, demo, db2admin, Admin, y sql.
username |
count |
percent |
administrator |
77125 |
34.87% |
Administrator |
53427 |
24.15% |
user1 |
8575 |
3.88% |
admin |
4935 |
2.23% |
alex |
4051 |
1.83% |
pos |
2321 |
1.05% |
demo |
1920 |
0.87% |
db2admin |
1654 |
0.75% |
Admin |
1378 |
0.62% |
sql |
1354 |
0.61% |
Durante 334 días se ha registrado 221203 intentos diferentes para conectarse, viniendo de 5076 direcciones IP distintas a través de 119 países diferentes, usando 1806 diferentes nombres de usuario y 3969 contraseñas diferentes.
Los hackers tratan con estos nombres de usuario y contraseñas, ya que son una combinación de contraseñas que por defecto no va a cambiar (db2admin: db2admin es el valor por defecto para una serie de bases de datos de IBM, por ejemplo), y están hechas para ser fáciles de recordar, más que seguro, cree Rapid 7.
Además, algunas empresas, especialmente minoristas, no pueden ser capaz de cambiar las credenciales de sus sistemas de punto de venta ‘del defecto a algo más seguro, ya que estos sistemas son a menudo instalados y administrados por un tercero’.
Los datos del informe se basa en un informe recogido por Heisenberg, el proyecto de red Honeypots de colección de sistemas trampa desplegados en todo el mundo; que emula la autenticación de varios protocolos para controlar de forma pasiva la Internet e inspeccionar los ataques basados en credenciales.
Dado que no hay razón legítima para cualquier persona intente conectar a los nodos de Heisenberg, ya que no ofrecen ningún servicio, Rapid 7 supone que este tráfico era malicioso.
The Attacker’s Dictionary -El Diccionario del atacante- puede ser descargado y leído en su totalidad desde aquí.
► Fuente: The Attacker’s Dictionary