Les acteurs de la menace pénètrent brutalement les terminaux d'entreprise en exécutant des applications d'accès à distance côté serveur et tentent de diffuser le ransomware GandCrab sur d'autres ordinateurs d'entreprise, avertissent les chercheurs de SecurityScorecard.
Leur arme de prédilection est Phorpiex / Trik, un bot doté de fonctions de ver qui lui permettent de se propager sur d’autres systèmes en se copiant sur des clés USB et d’autres disques amovibles.
La campagne
Ce logiciel malveillant peu sophistiqué analyse Internet à la recherche de serveurs RDP (Remote Desktop Protocol) et VNC (Virtual Network Computing) et tente d’accéder à ces périphériques en parcourant une liste de noms d’utilisateur et de mots de passe largement utilisés («password», «test»). ”,“ Testing ”,“ server ”,“ admin ”,“ 123123 ”,“ 123456 ”et similaires).
Le logiciel malveillant génère aléatoirement l'adresse IP d'une cible et tente de s'y connecter via le port 5900. S'il réussit, il insère le ransomware et laisse l'utilisateur avec des fichiers verrouillés et une demande de rançon.
Information: «Les ordinateurs infectés par Phorpiex ne sont pas les mêmes que les ordinateurs ciblés pour une infection par ransomware. Cela signifie que Phorpiex a toujours la plupart de ses robots à la disposition du bot master pour faire les autres activités malveillantes, telles que DDoS, brute-forcing, etc. »
a déclaré Paul Gagliardi, directeur des renseignements sur les menaces.
Information: «Au début, ils venaient de distribuer le ransomware, et le ransomware chiffrait instantanément les fichiers. Cependant, au cours des deux derniers jours, ils ont commencé à distribuer un exécutable Phorpiex sur les systèmes exploités. Il est possible qu'ils distribuent eux-mêmes le ransomware ou qu'ils le fassent pour le compte de quelqu'un qui a loué leurs services de distribution. ”
Les chercheurs ont gardé un œil sur la campagne en absorbant les domaines inactifs de Phorpiex et en se connectant à des domaines actifs après que leurs propres systèmes ont semblé être compromis par le bot et ont écouté les mises à jour et les commandes.
Information: «Nous ne savons pas combien d’ordinateurs ont été compromis avec le ransomware via le port 5900, mais nous savons qu’il ya 68 000 adresses IP uniques infectées par Phorpiex qui tentent activement d’infecter les ordinateurs»,
a déclaré Gagliardi.
Actuellement, le ransomware est livré principalement à des systèmes aux États-Unis, au Canada, dans certains pays européens, en Turquie, en Chine, au Japon, à Taiwan et en Australie.
Conseil pour cibles potentielles
Les chercheurs conseillent aux utilisateurs de s’assurer que le mot de passe de leurs serveurs RDP et VNC est solide (long, complexe et unique) et d’exécuter régulièrement une protection antivirus sur tous les supports amovibles.
Information:«Si vous remarquez que votre ordinateur contacte d'autres ordinateurs sur le port 5900 et que vous n'utilisez pas d'applications d'accès à distance, vous pouvez être infecté par Phorpiex et vous devez prendre des mesures pour supprimer l'infection»"
ont-ils noté.
Ils ont également averti que, en général, toutes les menaces évoluent et que les entreprises doivent constamment évaluer l'efficacité de leurs contrôles de la cybersécurité (et de ceux de leurs partenaires) et apporter les changements nécessaires pour rester en tête des pirates.
Source : helpnetsecurity
Commenter cet article