Pek çok kişi sisteme erişmeye çalıştı. Son üç yılda, 21 milyon oturum açma denemesi yakaladı ve saldırganların sistemde kasıtlı olarak kullandıkları zayıf parolayı kaba kuvvet kullanarak 2.600’den fazla başarılı oturum açması sağlandı. Bu başarılı girişlerin 2.300’ünü kaydettiler, yüklenen 470 dosya topladılar ve yararlı çekimlerle 339 videoyu analiz ettiler. (Bazı kayıtlar sadece birkaç saniye uzunluğundaydı ve daha az yararlı oldular.) “Teknikleri, araçları, bu sistemlerde yapılan her şeyi katalogladık” diyor Bilodeau.
Bergeron ve Bilodeau, saldırganları Dungeons and Dragons rol yapma oyunundaki karakter türlerine göre beş geniş kategoride gruplandırdı. En yaygın olanı koruculardı: Bu saldırganlar tuzak RDP oturumunun içine girer girmez sistemi keşfetmeye, Windows antivirüs araçlarını kaldırmaya, klasörleri araştırmaya, üzerinde bulunduğu ağa ve makinenin diğer öğelerine bakmaya başlarlardı. Bergeron, korucuların herhangi bir önlem almayacağını söylüyor. “Bu temel bir keşif” diyor ve sistemi başkalarının girmesi için değerlendiriyor olabileceklerini öne sürüyor.
Barbarlar bir sonraki en yaygın saldırgan türüydü. Araştırmacılar, bunların diğer bilgisayarlara kaba kuvvetle girmek için Masscan ve NLBrute gibi çoklu bilgisayar korsanlığı araçlarını kullandığını söylüyor. Makinelere girmeye çalışan bir IP adresleri, kullanıcı adları ve parolalar listesi üzerinden çalışırlar. Benzer şekilde, sihirbaz dedikleri grup, diğer güvenli olmayan RDP’lere karşı saldırılar başlatmak için RDP’ye erişimlerini kullanır ve potansiyel olarak kimliklerini birçok katmanda maskeler. Bergeron, “RDP erişimini diğer bilgisayarlara bağlanmak için bir portal olarak kullanıyorlar” diyor.
Bu arada hırsızlar, adlarının ima ettiği şeyi yaparlar. Mümkün olan her şekilde RDP erişiminden para kazanmaya çalışırlar. Araştırmacılar, trafikten para kazanma web sitelerini kullandıklarını ve kripto madencileri kurduklarını söylüyor. Tek seferde çok fazla kazanmayabilirler, ancak birden fazla taviz toplanabilir.
Bergeron ve Bilodeau’nun gözlemlediği son grup en gelişigüzel olanıdır: ozanlar. Araştırmacılar, bu kişilerin RDP’ye erişim satın almış olabileceğini ve bunu çeşitli nedenlerle kullanıyor olabileceğini söylüyor. Bergeron, araştırmacıların izlediği bir kişinin “şimdiye kadarki en güçlü virüsü” Google’da aradığını söylerken, bir başkasının Google Ads’e erişmeye çalıştığını söylüyor.
Diğerleri basitçe porno bulmaya çalıştı (ve başarısız oldu). Bergeron, YouTube pornografiye izin vermediği için, “YouTube’da porno aradığından başlangıç seviyesinde olduğunu görebiliyoruz; tabii ki hiçbir şey görünmüyor,” diyor. Araştırmacılar, pornoya erişmeye çalışırken birden fazla oturum tespit edildiğini ve bu kullanıcıların her zaman Farsça yazdığını, bu da engellendiği yerlerde pornoya erişmeye çalıştıklarını belirtiyor. (Araştırmacılar, RDP’ye erişenlerin çoğunun bunu nereden yaptığını kesin olarak belirleyemediler.)
Buna rağmen, saldırganları izlemek, bazı daha tuhaf eylemler de dahil olmak üzere nasıl davrandıklarını ortaya koyuyor. Kriminoloji alanında doktora sahibi olan Bergeron, saldırganların bazen işlerini “çok yavaş” yaptıklarını söylüyor. Onları izlerken genellikle “sabırsızlanıyordu” diyor. “‘Hadi ama, bunda iyi değilsin’ veya ‘Daha hızlı git’ veya ‘Daha derine in’ veya ‘Daha iyisini yapabilirsin’ gibiyim.”