How a Brute Force Attack Unmasked a Ransomware Infrastructure Network

Une attaque par force brute révèle une infrastructure de ransomware

Une attaque par force brute visant un serveur RDP exposé a permis de découvrir une infrastructure complexe liée à des services de ransomware en tant que service (RaaS). L’incident a débuté par une alerte de sécurité standard concernant des tentatives de connexion RDP infructueuses, mais l’enquête a révélé des activités inhabituelles après une connexion réussie.

Au lieu de suivre les tactiques habituelles d’extraction de mots de passe (comme Mimikatz), l’attaquant a fouillé des fichiers texte, suggérant une approche plus manuelle et potentiellement moins détectable pour trouver des identifiants. Cette démarche atypique a incité les investigateurs à examiner de plus près les adresses IP utilisées pour l’attaque.

Ces adresses IP ont été associées à des groupes de ransomware connus, tels que Hive et BlackSuite. En analysant les certificats TLS de ces adresses, une chaîne de domaines malveillants a été déconstruite, formant un réseau géographiquement dispersé. Ce réseau comprenait des domaines comme specialsseason[.]com et 1vpns[.]com, ce dernier ressemblant à un service VPN légitime mais potentiellement utilisé pour masquer les activités criminelles. Les noms de domaine tels que “Special season” (surnommé “big game hunting” dans le milieu de la cybersécurité) et la mention de “pas de logs” (nologs[.]club) renforcent l’hypothèse d’une infrastructure dédiée aux activités illicites des acteurs de la menace.

L’analyse a démontré comment une simple intrusion par force brute peut servir de porte d’entrée pour identifier l’écosystème d’opérateurs de ransomware et les “initial access brokers” qui facilitent ces opérations.

Points Clés :

• Une attaque par force brute sur RDP, normalement considérée comme routinière, a mené à la découverte d’une infrastructure de RaaS.
• Des tactiques inhabituelles d’accès aux identifiants (recherche dans des fichiers texte) ont été observées.
• L’analyse des adresses IP et des certificats TLS a permis de cartographier un réseau d’infrastructure malveillante.
• Des domaines liés à des groupes de ransomware et à des services VPN potentiellement compromis ont été identifiés.

Vulnérabilités :

• Exposition non sécurisée de serveurs RDP à Internet.
• Absence de mesures de sécurité robustes contre les attaques par force brute sur les services RDP.

Recommandations :

• Sécuriser l’accès RDP : Éviter l’exposition directe de RDP à Internet. Utiliser des VPN robustes ou des passerelles d’accès sécurisées. Implémenter une authentification multifacteur (MFA).
• Renforcer les politiques de mots de passe : Utiliser des mots de passe forts et uniques, et envisager des mécanismes de blocage après plusieurs tentatives infructueuses.
• Surveillance et analyse des logs : Déployer des solutions de surveillance qui collectent et analysent les logs d’événements pour détecter les activités suspectes, y compris les tentatives de force brute et les comportements d’énumération de domaine inhabituels.
• Recherche proactive des menaces : Ne pas ignorer les alertes de sécurité apparemment routinières. Examiner les indicateurs de compromission inhabituels et “zoomer” pour comprendre l’ensemble de l’opération, même si cela va au-delà de la réponse à incident immédiate.
• Mise à jour des indicateurs de compromission (IOC) : Suivre et intégrer les IOC liés aux domaines et adresses IP malveillants identifiés pour améliorer la détection.

Source