image

Ransomware versleutelt servers met zwakke rdp-wachtwoorden

donderdag 30 juni 2016, 11:51 door Redactie, 4 reacties

Sinds vorige maand is er een nieuwe ransomware-variant actief die Windows-servers versleutelt die via de remotedesktopfunctie toegankelijk zijn en van zwakke wachtwoorden gebruikmaken. Daarvoor waarschuwt beveiligingsbedrijf Emsisoft.

De ransomware wordt Apocalypse genoemd en werd voor het eerst op 9 mei waargenomen. Aanvallers proberen via brute force-aanvallen toegang tot Windows-servers te krijgen waar de remotedesktopfunctie is ingeshakeld. Via de remotedesktopfunctie is het mogelijk om systemen op afstand te beheren. In het geval beheerders van deze servers zwakke wachtwoorden hebben gekozen kunnen de aanvallers toegang tot het systeem krijgen.

Vervolgens wordt de ransomware op het systeem uitgevoerd die allerlei bestanden versleutelt. Voordat Apocalypse met het versleutelen begint controleert de ransomware eerst de taalinstelling. Gaat het om een Russisch, Oekraïens of Wit-Russisch systeem, dan stopt de ransomware met werken. Zodra de bestanden zijn versleuteld laat de ransomware een melding zien. Daarin staat dat er voor verdere instructies contact met een e-mailadres moet worden opgenomen.

Emsisoft meldt dat het erin is geslaagd om de ransomware te kraken, zodat slachtoffers via een gratis decryptietool kosteloos hun bestanden kunnen terugkrijgen. Daarnaast krijgen beheerders het advies sterke wachtwoorden te kiezen en toegang tot het systeem te beperken, bijvoorbeeld op basis van ip-adres.

Reacties (4)
30-06-2016, 14:57 door Anoniem
Toch wel bijzonder dat het gezien de huidige omstandigheden zowel Russische als Oekraïense systemen met rust laat.
30-06-2016, 15:52 door Anoniem
Iemand tips om dergelijk brute-force gedrag te monitoren?
30-06-2016, 17:32 door Anoniem
via de eventlog lijkt me ?
30-06-2016, 17:58 door Rolfieo
Door Anoniem: Iemand tips om dergelijk brute-force gedrag te monitoren?
Eventlog?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.