Durante un año aproximadamente, Rapid7 ha estado recolectando credenciales de inicio de sesión a través de "Heisenberg", una red de honeypots de baja interacción que la compañía ha puesto en marcha para analizar los intentos de inicio de sesión al azar.

Los honeypots emulan los handshake de autenticación de varios protocolos, pero nada más que eso, por lo que se desconocen los motivos de los "atacantes". Sin embargo, los intentos de conexión registrados dan una idea de los nombres de usuario, contraseñas y combinaciones de ambos más usados.

El informe publicado recientemente, que la compañía ha compilado a raíz de esta investigación, se ha centrado en intentos de conexión que se originan a través del Protocolo de Escritorio Remoto (RDP).

"RDP permite el control remoto de un equipo del hogar, oficina, punto de venta y sistemas de quiosco, y con frecuencia está habilitada intencionada y legítimamente por los propietarios de estos sistemas, ya que a veces se considera como una alternativa segura a una red privada virtual (VPN)", explican los investigadores. "RDP es también una interfaz de gestión popular para algunos sistemas basados en Windows Point-of-Sale (POS)."

De hecho, un reciente escaneo realizado por la compañía reveló que cerca de 11 millones de direcciones IP tienen el puerto 3389/TCP habilitado en modo escucha; este es el puerto por defecto para RDP, lo que significa que hay una gran cantidad de objetivos potenciales.

Como era de esperar, los nombres de usuario más probados son administrator y Administrator, seguido por usuario1. pos, db2admin y sql que también están en los primeros 10 lugares; esto indica que los atacantes buscan sistemas de punto de venta y bases de datos en Internet.

Un vistazo a las primeras contraseñas para los diez primeros nombres de usuario y la relación entre ellos reveló que:

• Para algunos nombres de usuario, los atacantes están usando contraseñas por defecto (por ejemplo, db2admin:d- b2admin, la credencial predeterminada para muchas versiones de la base de datos DB2 de IBM).
• x es la contraseña más comúnmente adivinada, probablemente a causa de que los administradores de puntos de venta y de quiosco no quieren ser molestados con la creación de una contraseña, por lo que lo resolvieron de la manera más fácil.
• Las combinaciones de nombre de usuario y contraseñas como usuario1:St@rt123 y alex:alex surgen a menudo, por lo que los investigadores creen que estas son las credenciales predeterminadas a una determinada marca de dispositivo o una botnet.

Los intentos de conexión procedentes de China son los más numerosos. Los siguientes en la lista son los de los EE.UU. y el resto está muy por debajo.

Más detalles interesantes se pueden ver en el informe que presentó Rapid7 en la Conferencia RSA.