→ https://blog.fox-it.com/2016/05/02/rans ... dp-attack/
Ce phénomène n'est pas vraiment nouveau puisqu'en 2013, le ransomware OMG avait déjà frappé les entreprises françaises, comme en témoigne ce long sujet de victimes sur le forum : extention-omg-ajoute-aux-fichiers-t4468 ... ml#p367758
Depuis, certaines familles de rançongiciels comme Criakl (Microsoft), Rakhni (Kaspersky), BandarChor (F-Secure) utilisent ce mode de diffusion. Notamment les variantes de Crysis.
Palo Alto Networks, l'équipementier américain spécialisé en sécurité informatique a émis sur son blog une entrée concernant la variante du ransomware Bucbi
Via un outil qui permet d'effectuer des attaques Bruteforce, vendu sur les forums underground :
Les comptes testés dans le cas de Bucbi :
La page de blocage de Bucbi, plutôt habituelle, on retrouve le : "Your personal files are encrypted!" Sur les forums underground, un accès en Administrateur via RDP est vendu environ 6$Administrator
Aloha
Admin
BPOS
FuturePos
HelpAssistant
KahalaPOS
Oracle
POS
SALES
SERVER
Sqladmin
Staff
Le service RDP est un service Windows très sensible. Dans la mesure du possible, ne pas faciliter la tâche aux attaquants en laissant les lourdes du château grandes ouvertes. Si vous n'avez pas le choix (hummm...) que de rendre ce service accessible sur internet, filtrez l'accès avec un firewall ou seulement via un VPN et pensez à imposer des identifiants forts à travers une GPO.
Liens connexes (ѠOOT):
→ http://researchcenter.paloaltonetworks. ... -makeover/