Des experts en sécurité informatique ont découvert qu'un groupe de piratage iranien jusque-là inconnu utilise l'exploit CVE-2017-0213 pour cibler les serveurs RDP et implanter des échantillons de ransomware Dharma. C'est l'une des familles de virus les plus populaires et de nombreuses souches de celui-ci sont créées quotidiennement. Ces attaques représentent les tentatives en cours de divers groupes de piratage pour utiliser en permanence ce virus dans leurs campagnes..
Exploit CVE-2017-0213 utilisé pour fournir Dharma Ransomware aux serveurs RDP
Des chercheurs en sécurité ont découvert que des groupes de pirates informatiques originaires d'Iran utilisent un exploit à distance pour cibler serveurs RDP vulnérables. Ce sont des services qui sont utilisés pour établir une connexion à distance - ils sont largement utilisés par l'équipe de support et les employés qui se connectent aux réseaux de l'entreprise. L'avis est suivi dans CVE-2017-0213 qui lui-même est décrit par Microsoft comme un problème dans la fonctionnalité Windows COM. Les versions de système d'exploitation non corrigées permettent aux pirates d'exécuter du code arbitraire avec des privilèges élevés.
Les pirates se sont concentrés sur la livraison de différentes souches du Dharma ransomware, leurs actions de coopération ont abouti à la détection de multiples incidents de sécurité dans le monde. L'enquête à ce sujet a révélé que les collectifs sont originaires d'Iran. Différents échantillons ont été créés par des groupes de piratage et ils exécuteront la séquence de comportement détaillée.
Les échantillons de ransomware Dharma peuvent être configurés à la fois pour modifier les paramètres du système, installer d'autres menaces et traiter les données des utilisateurs. Enfin, ils créeront des notes de rançon textuelles et ajouteront une extension préenregistrée aux données compromises.. Grâce à cette note, les pirates peuvent faire chanter les victimes pour qu'elles paient des actifs de crypto-monnaie.
Cette campagne d'attaque présente des demandes entre 1 et 5 Bitcoin qui est faible par rapport à d'autres campagnes d'attaque similaires. La recherche montre que la méthode d'attaque probable est une attaque réseau automatisée qui révélera s'il y a des hôtes vulnérables dans les réseaux sélectionnés. Un programme de force brute sera programmé pour délivrer automatiquement le ransomware Dharma en cas d'intrusion.
Cette attaque de piratage révèle une fois de plus qu'il est important de appliquez toujours les derniers correctifs de sécurité, en particulier ceux concernant le système d'exploitation.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: