Muchas personas intentaron acceder al sistema. En los últimos tres años, capturó 21 millones de intentos de inicio de sesión, con más de 2600 inicios de sesión exitosos por parte de atacantes que forzaron la contraseña débil que usaron a propósito en el sistema. Registraron 2300 de estos inicios de sesión exitosos, recopilaron 470 archivos que se cargaron y analizaron 339 de los videos con imágenes útiles. (Algunas grabaciones duraron solo un par de segundos y resultaron menos útiles). “Catalogamos las técnicas, las herramientas, todo lo que se hace en estos sistemas”, dice Bilodeau.
Bergeron y Bilodeau han agrupado a los atacantes en cinco amplias categorías según los tipos de personajes del juego de rol Dungeons and Dragons. Los más comunes eran los guardabosques: una vez que estos atacantes estaban dentro de la sesión trampa RDP, inmediatamente comenzaban a explorar el sistema, eliminando las herramientas antivirus de Windows, profundizando en las carpetas, observando la red en la que estaba y otros elementos de la máquina. Los Rangers no tomarían ninguna medida, dice Bergeron. “Es un reconocimiento básico”, dice ella, sugiriendo que pueden estar evaluando el sistema para que otros ingresen.
Los bárbaros fueron el siguiente tipo de atacantes más frecuente. Estos utilizan múltiples herramientas de piratería, como Masscan y NLBrute, para abrirse paso a través de la fuerza bruta en otras computadoras, dicen los investigadores. Trabajan a través de una lista de direcciones IP, nombres de usuario y contraseñas, tratando de ingresar a las máquinas. De manera similar, el grupo al que llaman magos usa su acceso al RDP para lanzar ataques contra otros RDP inseguros, lo que potencialmente enmascara su identidad en muchas capas. “Usan el acceso RDP como un portal para conectarse a otras computadoras”, dice Bergeron.
Los ladrones, por su parte, hacen lo que su nombre indica. Intentan ganar dinero con el acceso RDP de cualquier manera posible. Usan sitios web de monetización de tráfico e instalan criptomineros, dicen los investigadores. Es posible que no ganen mucho de una sola vez, pero se pueden sumar múltiples compromisos.
El último grupo observado por Bergeron y Bilodeau es el más desordenado: los bardos. Estas personas, dicen los investigadores, pueden haber comprado acceso al RDP y lo están usando por una variedad de razones. Una persona que los investigadores observaron buscó en Google el «virus más fuerte de la historia», dice Bergeron, mientras que otra intentó acceder a Google Ads.
Otros simplemente intentaron (y fallaron) encontrar pornografía. “Podemos ver el nivel de principiante en el que se encuentra, ya que buscó pornografía en YouTube; por supuesto, no aparece nada”, dice Bergeron, ya que YouTube no permite la pornografía. Se detectaron múltiples sesiones tratando de acceder a la pornografía, dicen los investigadores, y estos usuarios siempre estaban escribiendo en farsi, lo que indica que pueden estar tratando de acceder a la pornografía en lugares donde está bloqueada. (Los investigadores no pudieron determinar de manera concluyente desde dónde lo hacían muchos de los que accedían al RDP).
A pesar de esto, observar a los atacantes revela la forma en que se comportan, incluidas algunas acciones más peculiares. Bergeron, quien tiene un doctorado en criminología, dice que los atacantes a veces eran “muy lentos” en hacer su trabajo. A menudo se “impacientaba” mientras los observaba, dice. «Estoy como: ‘Vamos, no eres bueno en eso’ o ‘Ve más rápido’ o ‘Profundiza’ o ‘Puedes hacerlo mejor'».