Comment diffuser un ransomware sans s’épuiser dans l’exploitation distante d’une faille, l’écriture d’un dropper ou la compromission d’un serveur de « drive by download » ? En investissant dans le brute force, expliquent les chercheurs de Sophos. Chercheurs qui ont constaté une recrudescence des tentatives d’intrusion via les ports d’entrée RDP, le serveur d’applications Microsoft installé par défaut aussi bien sur les machines WS que sur les stations de travail.
L’attaque n’est pas nouvelle. L’on pourrait même avancer qu’elle fut antérieure au Terminal Server de Microsoft, puisque des recherches en ce sens visaient déjà les réseaux Citrix.
Une fois dans la place, les festivités commencent : arrêt des services shadow copy, des bases de données, dépôt d’exécutables à foison. Les attaques les plus simples sont souvent les plus profitables.
Deux inconvénients à cette approche : le manque d’automatisation de la chaîne d’infection, et la quasi invulnérabilité d’un serveur TSE dont les politiques de sécurité ont été renforcées.