Actualités

RDP : une fois de plus, le protocole distant est utilisé comme vecteur malveillant ! (Dharma…)

Pour vérifier à distance un terminal, expliquer un point de vue ou encore, entre-autres, pour se connecter chroniquement, le RDP fait transiter tout un tas de données : une porte d’entrée précieuse pour certaines personnes qui n’hésitent pas, en ce moment, à affectionner dangereusement le protocole pour en faire une arme redoutablement malveillante. C’est ce que met en lumière le groupe sécuritaire IB : un ransomware accompagné de malwares aurait transité via le RDP vers de nombreux pays…

 

 

Les attaquants ont utilisé le ransomware Dharma et un mélange d’outils accessibles au public pour cibler des entreprises en Russie, au Japon, en Chine et en Inde. Toutes les organisations concernées avaient des hôtes avec un RDP connecté à Internet et des informations d’identification faibles. Les pirates exigeaient généralement une rançon comprise entre 1 et 5 BTC. Le groupe de hackers nouvellement découvert suggère que l’Iran, qui est connu depuis des années comme le berceau des groupes APT parrainés par l’État“, explique le groupe IB, dans un billet daté au 24 Août dernier.

Concernant le ransomware, il s’agit de Dharma (ou Crysis), apparu, officiellement, depuis 2016 en tant que RaaS comme ce fut, en Juillet dernier, le cas pour Sodinokibi (REvil) qui résidait derrière les traits d’une offre de souscription à un service dans les nuages. Entre-temps, le code-source de Dharma a été disponible sur l’Internet – depuis Mars 2020 – ce qui a largement permis une récupération en vue d’une (re)exploitation, notamment en cherchant (à l’aide de Masscan) des plages d’IPs où le RDP (port…) était actif. La vulnérabilité CVE-2017-0213 a été utilisée (avec succès… ce qui suggère une application du patch défaillante dans certaines entreprises ou institutions) en tentant une élévation de privilèges depuis Windows COM Aggregate Marshaler. Si les faits semblent assez inquiétants, les chercheurs estiment que le modus operandi s’effectue à tatillon, à la vue de certaines pratiques ou actions : “les acteurs de la menace n’avaient probablement pas de plan clair sur ce qu’il fallait faire avec les réseaux compromis. Une fois la connexion RDP établie, ils décident des outils à déployer pour se déplacer latéralement. Par exemple, pour désactiver le logiciel antivirus intégré, les attaquants ont utilisé Defender Control et Your Uninstaller. Ce dernier a été téléchargé à partir du site Web iranien de partage de logiciels – la requête de recherche Google en persan «دانلود نرم افزار youre unistaller» a été découverte dans les artefacts Chrome. D’autres outils ont été téléchargés par les attaquants à partir des chaînes Telegram en persan alors qu’ils étaient déjà présents sur le réseau“.

 

Le télétravail (qui oblige un accès distant régulé par l’entreprise du salarié ou, du moins, sous la bienveillance de son ou ses administrateurs-système…), avec la rentrée prochaine (dans le monde entier) s’annonce périlleux dans le domaine sécuritaire : il est fortement recommandé de limiter l’accès au RDP ou de modifier le port d’origine 3389 si l’accès reste essentiel pour des besoins professionnels.

Sous Windows 10, la fonction est disponible depuis les paramètres, section “système” puis “bureau à distance” : vous pouvez activer ou non (pastille) l’option tout en gérant, au besoin, le listing des utilisateurs autoriser à être jointé avec votre terminal bureau ou mobile. Depuis la section “mise à jour et sécurité“, toujours dans les paramètres, au sein de l’option “espace développeurs“, section “bureau à distance“, les paramètres du RDP sont, aussi, disponibles : en cliquant sur “afficher les paramètres“, les “propriétés système” (fenêtre) s’affichent. Deux encarts sont disponibles : “assistance à distance” et “bureau à distance“, où vous pouvez autoriser ou non (coche) l’accès distant. Faites “appliquer” puis “ok” pour prendre en compte les éventuels changements… A veiller !

 

 

Source : Groupe IB – 24 Août 2020 – RDP : le ransomware Dharma en circulation avec d’autres malwares qui seraient d’origine Iranienne.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020