2週間前、あるフランスの会社に属するサーバーでの暗号化攻撃を確認しました。 これは、Crysisランサムウェアファミリーの亜種の 1つでした。 毎日、暗号化装置による感染の試みが数千件ありますが、このケースが注目を集めました。 このファイルは何らかの形でコンピューターに表示されたため 、メールエージェントやインターネットブラウザーがコンピューターで実行されていなかったため、だれも使用していないため、使用すべきではありませんでした 。
彼はどのようにしてコンピューターにアクセスしましたか?
サーバー上のセキュリティ機能により、このファイルがそこに到達できるようになったのはなぜですか? この質問に対する答えを正確に見つけることにしたため、調査を開始しました。 このサーバーでリモートデスクトッププロトコル (RDP)が実行されており、サイバー犯罪者がブルートフォース攻撃を使用したことが判明しました。これにより、登録データを取得し、サーバーにリモートアクセスできるようになりました。
ちょっとした歴史: ほとんどのユーザーには二要素認証が含まれておらず、パスワードはそれほど複雑でもランダムでもないため、適切な辞書を使用するか、最も頻繁に使用される組み合わせを総当たりでこのタイプの攻撃を使用してサーバーに侵入するだけで十分です。 この手法は新しいものではありません。 1年以上前、まったく同じ手法を使用した1人の暗号作成者がスペインの企業を襲ったことを覚えています。 原則として、サイバー犯罪者は、夜間または週末にオフィスに人がほとんどいないか、まったく人がいない週末にそのような攻撃を実行します。
サイバー犯罪者は、ブルートフォース攻撃を使用してサーバーに侵入し、適切な辞書を使用してパスワードを並べ替えるか、最も頻繁に使用される組み合わせを確認しました。
この場合、サーバーに対する攻撃は5月16日に始まり、700回の接続試行が行われました。 約2時間、自動的に実行されました。 これらの攻撃のほとんどは、夜間に1〜3時間、または3〜5時間実行されました。 毎日。 接続の試行回数が変更されました。たとえば、5月18日には1976年、7月1日から1342年には変更されました。
ほぼ4か月後、100,000回以上の接続試行を完了したハッカーは、なんとかサーバーに侵入し、Crysisランサムウェアを起動しました。
これは世界的なクライシスです。
今週、トレンドマイクロのカウンターパートは、 Crysisバリアントも使用したオーストラリアおよびニュージーランドでの同様の攻撃について警告する記事を公開しました 。 残念ながら、これらの国だけでなく、これらの攻撃は世界中で(少なくとも5月以降)行われていると言えます。
RDPプロトコルを実行してインターネットに接続する必要があると仮定します。したがって、攻撃を受けていることを知らせる接続試行を監視することに加えて、複雑なパスワードも使用する必要があります。 最良のオプションは、たとえばSMS経由のパスワードを使用した2要素認証を実装することです。その結果、パスワードの選択は役に立たなくなります。
記事の著者:Louis Corrons