.
Muitas pessoas tentaram acessar o sistema. Nos últimos três anos, ele capturou 21 milhões de tentativas de login, com mais de 2.600 logins bem-sucedidos de invasores que forçaram brutalmente a senha fraca que usaram propositadamente no sistema. Eles gravaram 2.300 desses logins bem-sucedidos, reuniram 470 arquivos que foram carregados e analisaram 339 dos vídeos com imagens úteis. (Algumas gravações duravam apenas alguns segundos e se mostraram menos úteis.) “Catalogamos as técnicas, as ferramentas, tudo feito nesses sistemas”, diz Bilodeau.
Bergeron e Bilodeau agruparam os atacantes em cinco grandes categorias com base nos tipos de personagens do RPG Dungeons and Dragons. Os mais comuns eram os rangers: uma vez que esses invasores estivessem dentro da sessão RDP da armadilha, eles começariam imediatamente a explorar o sistema, removendo ferramentas antivírus do Windows, vasculhando pastas, olhando a rede em que estava e outros elementos da máquina. Os Rangers não tomariam nenhuma atitude, diz Bergeron. “É um reconhecimento básico”, diz ela, sugerindo que eles podem estar avaliando o sistema para que outros possam entrar.
Os bárbaros foram o próximo tipo de atacante mais frequente. Eles usam várias ferramentas de hacking, como Masscan e NLBrute, para forçar seu caminho em outros computadores, dizem os pesquisadores. Eles trabalham com uma lista de endereços IP, nomes de usuários e senhas, tentando invadir as máquinas. Da mesma forma, o grupo que eles chamam de assistentes usa seu acesso ao RDP para lançar ataques contra outros RDPs inseguros, mascarando potencialmente sua identidade em várias camadas. “Eles usam o acesso RDP como um portal para se conectar a outros computadores”, diz Bergeron.
Os ladrões, enquanto isso, fazem o que seu nome indica. Eles tentam ganhar dinheiro com o acesso RDP de todas as maneiras possíveis. Eles usam sites de monetização de tráfego e instalam mineradores de criptomoedas, dizem os pesquisadores. Eles podem não ganhar muito de uma só vez, mas vários compromissos podem se acumular.
O último grupo que Bergeron e Bilodeau observaram é o mais aleatório: os bardos. Essas pessoas, dizem os pesquisadores, podem ter adquirido acesso ao RDP e o estão usando por vários motivos. Uma pessoa que os pesquisadores observaram pesquisou no Google o “vírus mais forte de todos os tempos”, diz Bergeron, enquanto outra tentou acessar o Google Ads.
Outros simplesmente tentaram (e falharam) encontrar pornografia. “Podemos ver o nível iniciante em que ele está, enquanto procurava pornografia no YouTube – nada aparece, é claro”, diz Bergeron, já que o YouTube não permite pornografia. Várias sessões foram flagradas tentando acessar pornografia, dizem os pesquisadores, e esses usuários estavam sempre escrevendo em farsi, indicando que podem estar tentando acessar pornografia em locais bloqueados. (Os pesquisadores não foram capazes de determinar conclusivamente de onde muitos dos que acessavam o RDP o faziam.)
Apesar disso, observar os atacantes revela a forma como eles se comportam, incluindo algumas ações mais peculiares. Bergeron, que tem doutorado em criminologia, diz que os atacantes às vezes eram “muito lentos” em fazer seu trabalho. Muitas vezes ela estava “ficando impaciente” enquanto os observava, diz ela. “Eu fico tipo: ‘Vamos lá, você não é bom nisso’ ou ‘Vá mais rápido’ ou ‘Vá mais fundo’ ou ‘Você pode fazer melhor’.”
.
