Selon les chercheurs, les services de bureau à distance exposés publiquement sont exploités pour déployer de nouveaux ransomwares sur les appareils cibles.
Un chercheur en cybersécurité du nom de Linuxct a récemment contacté MalwareHunterTeam pour tenter d'en savoir plus sur une souche de ransomware qu'ils ont découverte, appelée Venus.
L’équipe a découvert plus tard que les opérateurs de ransomwares étaient actifs depuis la mi-août 2022, ciblant les victimes du monde entier en accédant à un réseau d’entreprise via le protocole Windows Remote Desktop, même lorsqu’une organisation utilise un numéro de port inhabituel pour le service.
Caché derrière un pare-feu
Selon les chercheurs, le meilleur moyen de se protéger contre de telles attaques est de placer ces services derrière un pare-feu. De plus, les services de bureau à distance ne devraient pas être exposés publiquement et ne seraient idéalement accessibles que via un réseau privé virtuel (VPN).
Quant au ransomware Venus, le mode opératoire n’a rien d’extraordinaire pour ce type de malware. Une fois la cartographie du réseau, l'identification des points finaux et d'autres travaux de reconnaissance terminés, le malware tuera 39 processus utilisés par les serveurs de bases de données et les applications Office. Les journaux d'événements et les volumes d'instantanés seraient supprimés, la prévention de l'exécution des données serait désactivée et tous les fichiers seraient cryptés pour avoir l'extension .venus.
Enfin, le ransomware créerait une demande de rançon, exigeant un paiement en cryptomonnaie en échange de la clé de décryptage. Venus exigerait généralement un paiement en bitcoin, et les dernières informations indiquent que le pool demande 0.02 BTC, soit environ 380 €, pour la clé de déchiffrement.
La fin de la demande de rançon contient un blob codé en base64, qui, selon les chercheurs, est probablement la clé de décryptage cryptée, et de nouvelles soumissions sont téléchargées quotidiennement sur ID Ransomware,
L’année dernière, une autre souche de ransomware a utilisé la même extension de fichier crypté, mais les chercheurs ne savent pas s’il s’agit ou non de la même variante de ransomware.
Via : BleepingComputer (Ouvre dans un nouvel onglet)