RDP : un autre vecteur de choix pour les ransomwares

Il est apparu dans le courant du mois de juin, mais c’est au moins d’octobre qu’Alien Vault a observé un accroissement des cas de compromission par le ransomware LockCrypt.

Dans un billet de blog, les chercheurs de l’éditeur expliquent ce maliciel cherche à se propager en attaquant en force brute des services RDP qui lui sont accessibles. La rançon demandée peut être importante : entre un demi et un bitcoin par machine compromise, soit près de 6800 € au cours actuel… Le 15 novembre dernier, selon Sophos, les opérateurs de ce logiciel malveillant avaient déjà recueilli près de 10 bitcoins. Les victimes seraient majoritairement des PME.

LockCrypt ne partage apparemment que peu de code avec d’autres rançongiciels mais utilise une adresse e-mail précédemment liée au ransomware Satan. Il envoie les informations relatives aux systèmes compromis à un serveur installé en Iran.

Les deux éditeurs ne manquent pas de rappeler quelques pratiques d’hygiène de base : désactiver RDP lorsqu’il n’est pas utilisé, limiter l’éventail de connexions entrantes autorisées sur ce service, utiliser l’authentification à double facteur, limiter les tentatives d’authentification (pour ralentir ou empêcher de simplement deviner le mot de passe) mais aussi, sinon surtout, ne rendre accessible le service que via un lien VPN.

A l’automne 2016, les équipes de Trend Micro avaient déjà observé un ransomware visant les systèmes exposant leurs services RDP, Crysis. Il visait surtout les entreprises en Australie et en Nouvelle Zélande. Mais des cas de compromission en Europe avaient également été relevés.

Récemment, Flashpoint avait alerté sur la mise en vente, en ligne, sur le marché noir, des identifiants pour des dizaines de milliers de services RDP, dont plus de 450 en France. Le moteur de recherche spécialisé Shodan recense plus de 77 000 services RDP exposés sur Internet par des systèmes hébergés en France, et près de trois millions dans le monde entier.