L’article de THE DFIR REPORT détaille une intrusion complexe survenue en novembre 2024, où des attaquants ont utilisé une attaque de Password Spray pour accéder à un serveur RDP exposé. Cette attaque a permis aux cybercriminels de compromettre plusieurs comptes utilisateurs sur une période de quatre heures.
Une fois l’accès initial obtenu, les attaquants ont utilisé des outils tels que Mimikatz et Nirsoft CredentialsFileView pour récolter des identifiants, et ont mené des activités de reconnaissance à l’aide de commandes intégrées et d’outils tiers comme Advanced IP Scanner et NetScan. Ils ont également utilisé Rclone pour exfiltrer des données vers un serveur distant via SFTP.
Le ransomware RansomHub a été déployé à travers le réseau, se propageant via SMB et exécuté à l’aide de services distants. L’impact a été significatif, avec des machines virtuelles arrêtées, des copies de sauvegarde supprimées et des journaux d’événements effacés. L’intrusion a duré six jours, culminant avec le déploiement du ransomware.
Ce rapport technique vise à fournir une analyse détaillée de l’intrusion, mettant en lumière les tactiques et techniques utilisées par les attaquants, et sert de ressource éducative pour les professionnels de la cybersécurité.
🔗 Source originale : https://thedfirreport.com/2025/06/30/hide-your-rdp-password-spray-leads-to-ransomhub-deployment/