L’article publié par The DFIR Report décrit une attaque sophistiquée exploitant un serveur RDP exposé pour obtenir un accès initial par une attaque de password spraying. Cette méthode a ciblé de nombreux comptes sur une période de quatre heures.
Les attaquants ont utilisé des outils comme Mimikatz et Nirsoft pour récolter des identifiants, accédant notamment à la mémoire LSASS. Pour la phase de découverte, ils ont employé des binaries living-off-the-land ainsi que des outils comme Advanced IP Scanner et NetScan.
Pour l’exfiltration des données, Rclone a été utilisé pour transférer les informations vers un serveur distant via SFTP. Enfin, le ransomware RansomHub a été déployé à l’échelle du réseau, se propageant via SMB et exécuté à l’aide de services distants.
Cet article constitue une analyse technique détaillée de l’attaque, mettant en lumière les outils et techniques utilisés par les attaquants.
🧠 TTP et IOC détecté
TTP
T1110.003 (Password Spraying), T1003.001 (LSASS Memory), T1059 (Command and Scripting Interpreter), T1087 (Account Discovery), T1018 (Remote System Discovery), T1071.002 (File Transfer Protocols), T1021.002 (SMB/Windows Admin Shares), T1486 (Data Encrypted for Impact)
IOC
Mimikatz, Nirsoft, Advanced IP Scanner, NetScan, Rclone, RansomHub
🔗 Source originale : https://thedfirreport.com/2025/06/30/hide-your-rdp-password-spray-leads-to-ransomhub-deployment/