Intrusions via RDP et ransomware pour serveurs Windows

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Site Admin
Site Admin
Messages : 97105
Inscription : 10 sept. 2005 13:57
Contact :

Intrusions via RDP et ransomware pour serveurs Windows

Message par Malekal_morte » 08 mai 2016 13:28

Une page d'actualité sur les intrusions informatiques via RDP ( Remote Desktop Protocol ) employées dans le but de conduire des campagnes organisées de chantages numériques. L'attaquant, à l'aide de crypto-ransomwares, prends en otage les fichiers stockés en échange d'une rançon.

https://blog.fox-it.com/2016/05/02/rans ... dp-attack/

Ce phénomène n'est pas vraiment nouveau puisqu'en 2013, le ransomware OMG avait déjà frappé les entreprises françaises, comme en témoigne ce long sujet de victimes sur le forum : https://forum.malekal.com/extention-omg ... ml#p367758

Depuis, certaines familles de rançongiciels comme Criakl (Microsoft), Rakhni (Kaspersky), BandarChor (F-Secure) utilisent ce mode de diffusion. Notamment les variantes de Crysis.

Palo Alto Networks, l'équipementier américain spécialisé en sécurité informatique a émis sur son blog une entrée concernant la variante du ransomware Bucbi

Via un outil qui permet d'effectuer des attaques Bruteforce, vendu sur les forums underground :
RDP Brute ( Coded by z668 )
RDP Brute ( Coded by z668 )
Les comptes testés dans le cas de Bucbi :
Administrator
Aloha
Admin
BPOS
FuturePos
HelpAssistant
KahalaPOS
Oracle
POS
SALES
SERVER
Sqladmin
Staff
La page de blocage de Bucbi, plutôt habituelle, on retrouve le : "Your personal files are encrypted!"
Bucbi - "Your personal files are encrypted!"
Bucbi - "Your personal files are encrypted!"
Bucbi - "We are members of Ukrainian Right Sector" ( Pravyi Sektor - radical nationalist paramilitary )
Bucbi - "We are members of Ukrainian Right Sector" ( Pravyi Sektor - radical nationalist paramilitary )
Sur les forums underground, un accès en Administrateur via RDP est vendu environ 6$
Bucbi - BLAZIN RDP'S - "You are buying Rooted Dedicated Servers & VPS by me" ( BLAZINHOSTING )
Bucbi - BLAZIN RDP'S - "You are buying Rooted Dedicated Servers & VPS by me" ( BLAZINHOSTING )
Bucbi - RDP Selling Shop - "Servers in Stock"
Bucbi - RDP Selling Shop - "Servers in Stock"
Bucbi - RDP Servers Choices (Low, Medium, High)
Bucbi - RDP Servers Choices (Low, Medium, High)
Le service RDP est un service Windows très sensible. Dans la mesure du possible, ne pas faciliter la tâche aux attaquants en laissant les lourdes du château grandes ouvertes. Si vous n'avez pas le choix (hummm...) que de rendre ce service accessible sur internet, filtrez l'accès avec un firewall ou seulement via un VPN et pensez à imposer des identifiants forts à travers une GPO.

Liens connexes (ѠOOT):
http://researchcenter.paloaltonetworks. ... -makeover/


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Actualité & News Informatique »