How a Brute Force Attack Unmasked a Ransomware Infrastructure Network

Une attaque par force brute révèle un réseau d’infrastructure de rançongiciel

Une campagne d’attaques par force brute visant un serveur RDP exposé, initialement perçue comme une activité routinière, a conduit à la découverte d’une infrastructure complexe liée aux rançongiciels. L’analyse des journaux a révélé un accès réussi via une seule combinaison d’identifiants compromise, utilisée depuis plusieurs adresses IP, suggérant l’utilisation d’une infrastructure distribuée par un seul acteur.

Suite à l’intrusion, l’attaquant a procédé à une énumération du domaine. Une observation inhabituelle a été le recours à la recherche manuelle d’identifiants dans des fichiers texte via le Bloc-notes, plutôt que les méthodes courantes d’extraction de clés comme Mimikatz. Cette approche a incité à une enquête plus approfondie des adresses IP d’origine.

Ces investigations ont permis de relier l’IP d’attaque aux rançongiciels Hive et BlackSuite. En examinant les certificats TLS, un domaine lié, “specialsseason[.]com”, a été identifié. L’analyse de ce domaine a révélé un réseau d’adresses IP et de noms de domaine géographiquement distribués, utilisant une convention de nommage similaire (NL-<code pays>.specialsseason[.]com). De plus, d’autres certificats ont conduit à la découverte du domaine “1vpns[.]com”, un service VPN ressemblant à un service légitime, potentiellement utilisé par des acteurs malveillants pour maintenir l’anonymat. Le domaine “1jabber[.]com” et un nom de domaine lié à la politique de “0 logs” (“nologs[.]club”) ont également été trouvés, renforçant l’idée d’un écosystème conçu pour les activités criminelles.

Cette découverte démontre comment une attaque apparemment simple peut débloquer des informations précieuses sur l’infrastructure et les motivations des opérateurs de rançongiciels, souvent déguisés en “initial access brokers”.

Points Clés :

• Une attaque par force brute sur un serveur RDP exposé a servi de point d’entrée.
• L’attaquant a utilisé une infrastructure distribuée depuis plusieurs adresses IP.
• Une méthode inhabituelle de recherche manuelle d’identifiants dans des fichiers texte a été observée.
• L’infrastructure démantelée est liée aux rançongiciels Hive et BlackSuite.
• Un réseau d’infrastructure distribué, incluant des domaines liés à des VPN et des services d’anonymat, a été découvert.

Vulnérabilités :

• Exposition de serveurs RDP à Internet.
• Utilisation d’identifiants faibles ou compromis permettant des attaques par force brute réussies.

Recommandations :

• Sécuriser l’accès RDP en évitant l’exposition directe à Internet.
• Utiliser l’authentification multifacteur (MFA) pour l’accès RDP.
• Mettre en place des politiques de mots de passe robustes et des mécanismes de verrouillage de compte après plusieurs tentatives infructueuses.
• Surveiller activement les journaux de sécurité pour détecter les activités suspectes, y compris les tentatives de connexion par force brute.
• Effectuer des analyses de vulnérabilités régulières pour identifier et corriger les points d’entrée potentiels.
• Se tenir informé des tactiques, techniques et procédures (TTP) des acteurs malveillants pour anticiper et contrer les menaces.

Source