Η RansomHub Ransomware επιτίθεται σε διακομιστές RDP
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Η RansomHub Ransomware επιτίθεται σε διακομιστές RDP
https://www.secnews.gr/652459/ransomhub-ransomware-epitithetai-diakomistes-rdp/
Jun 30th 2025, 12:41
by Absenta Mia
Μια πρόσφατη έρευνα για ένα περιστατικό ασφάλειας από την ομάδα THE DFIR Report αποκάλυψε τις εξελιγμένες τακτικές που χρησιμοποίησαν οι δράστες του RansomHub ransomware σε μια συντονισμένη εκστρατεία επίθεσης, η οποία οδήγησε στην παραβίαση ολόκληρου εταιρικού δικτύου μέσω ενός εκτεθειμένου διακομιστή Remote Desktop Protocol (RDP).
Δείτε επίσης: Betruger: Η ransomware ομάδα RansomHub χρησιμοποιεί νέο backdoor
Η επίθεση, που πραγματοποιήθηκε τον Νοέμβριο του 2024, αναδεικνύει το πώς το τοπίο των απειλών συνεχώς εξελίσσεται, ιδιαίτερα για οργανισμούς που χρησιμοποιούν υποδομές απομακρυσμένης πρόσβασης. Η αρχή της εισβολής έγινε με μια στοχευμένη επίθεση τύπου password spray, η οποία διήρκεσε περίπου τέσσερις ώρες και είχε ως στόχο έναν διακομιστή RDP που ήταν προσβάσιμος από το διαδίκτυο.
Οι επιτιθέμενοι, χρησιμοποιώντας τις διευθύνσεις IP 185.190.24[.]54 και 185.190.24[.]33, κατάφεραν να παραβιάσουν έξι λογαριασμούς χρηστών. Ανοικτές πηγές πληροφοριών επιβεβαίωσαν ότι οι εν λόγω διευθύνσεις IP είχαν ιστορικό κακόβουλων ενεργειών, κυρίως επιθέσεων σε διαχειριστικά περιβάλλοντα και τείχη προστασίας (firewalls).
Οι ειριστές του RansomHub Ransomware, επέδειξαν υπομονή και επιμονή, περιμένοντας αρκετές ώρες μετά την επιτυχή σύνδεση στον διακομιστή RDP, πριν ξεκινήσουν την αναγνώριση του δικτύου. Αυτή η προσέγγιση τύπου "low-and-slow" συνέβαλε στο να παραμείνουν απαρατήρητοι από τα συστήματα ανίχνευσης, τα οποία είναι σχεδιασμένα να εντοπίζουν πιο γρήγορες και έντονες επιθέσεις τύπου brute force.
Δείτε ακόμα: RansomHub: Η πιο παραγωγική ομάδα ransomware το 2024
Αφού απέκτησαν πρόσβαση στο δίκτυο, οι επιτιθέμενοι εγκατέστησαν προηγμένα εργαλεία συλλογής διαπιστευτηρίων, κυρίως τα Mimikatz και CredentialsFileView της Nirsoft. Οι δράστες χρησιμοποίησαν εντολές του Mimikatz όπως 'sekurlsa::logonpasswords' και 'lsadump::dcsync' για να αποσπάσουν διαπιστευτήρια διαχειριστών τομέα (domain administrators) από πολλούς θυγατρικούς τομείς. Σύμφωνα με την αναφορά, οι επιτιθέμενοι παρήγαγαν αρχεία εξόδου CSV για κάθε τομέα, κάτι που υποδηλώνει ότι πραγματοποιούσαν συστηματικό έλεγχο πρόσβασης διαχειριστή σε ολόκληρη την εταιρική υποδομή.
Η RansomHub Ransomware επιτίθεται σε διακομιστές RDP
Οι χειριστές του RansomHub συνδύασαν παραδοσιακές τεχνικές τύπου "living-off-the-land" με εμπορικά εργαλεία σάρωσης δικτύου για εκτενή ανακάλυψη της δικτυακής δομής. Εκμεταλλεύτηκαν ενσωματωμένες εντολές των Windows, όπως net, nslookup, nltest, ipconfig και ping, για να καταγράψουν χρήστες, ομάδες, σχέσεις εμπιστοσύνης (domain trusts) και τη συνολική τοπολογία του δικτύου.
Συνιστάται οι οργανισμοί να εφαρμόσουν πολυπαραγοντικό έλεγχο ταυτότητας (MFA) για την πρόσβαση μέσω RDP, να περιορίσουν την έκθεση των υπηρεσιών απομακρυσμένης επιφάνειας εργασίας στο διαδίκτυο και να ενσωματώσουν προηγμένες δυνατότητες ανίχνευσης απειλών στα τελικά σημεία, ώστε να εντοπίζονται δραστηριότητες συλλογής διαπιστευτηρίων.
Η διάρκεια της επίθεσης, που ξεπέρασε τις 118 ώρες, υπογραμμίζει τη σημασία της ταχείας ανίχνευσης και απόκρισης σε απειλές στο πλαίσιο των σύγχρονων στρατηγικών κυβερνοασφάλειας.
Δείτε επίσης: Mission Bank: Η RansomHub πίσω από την παραβίαση δεδομένων;
Ένα σημαντικό συμπέρασμα που προκύπτει από τέτοιες επιθέσεις είναι ότι η ασφάλεια του RDP παραμένει ένας από τους πιο κρίσιμους τομείς για την κυβερνοπροστασία των οργανισμών. Η εύκολη πρόσβαση σε εκτεθειμένους RDP servers από το διαδίκτυο αποτελεί "πύλη εισόδου" για πολλούς επιτιθέμενους όπως απέδειξε η RansomHub Ransomware, ιδιαίτερα όταν δεν εφαρμόζονται βασικά μέτρα όπως MFA ή περιορισμός πρόσβασης μέσω firewall και VPN.
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Η RansomHub Ransomware επιτίθεται σε διακομιστές RDP
https://www.secnews.gr/652459/ransomhub-ransomware-epitithetai-diakomistes-rdp/
Jun 30th 2025, 12:41
by Absenta Mia
Μια πρόσφατη έρευνα για ένα περιστατικό ασφάλειας από την ομάδα THE DFIR Report αποκάλυψε τις εξελιγμένες τακτικές που χρησιμοποίησαν οι δράστες του RansomHub ransomware σε μια συντονισμένη εκστρατεία επίθεσης, η οποία οδήγησε στην παραβίαση ολόκληρου εταιρικού δικτύου μέσω ενός εκτεθειμένου διακομιστή Remote Desktop Protocol (RDP).
Δείτε επίσης: Betruger: Η ransomware ομάδα RansomHub χρησιμοποιεί νέο backdoor
Η επίθεση, που πραγματοποιήθηκε τον Νοέμβριο του 2024, αναδεικνύει το πώς το τοπίο των απειλών συνεχώς εξελίσσεται, ιδιαίτερα για οργανισμούς που χρησιμοποιούν υποδομές απομακρυσμένης πρόσβασης. Η αρχή της εισβολής έγινε με μια στοχευμένη επίθεση τύπου password spray, η οποία διήρκεσε περίπου τέσσερις ώρες και είχε ως στόχο έναν διακομιστή RDP που ήταν προσβάσιμος από το διαδίκτυο.
Οι επιτιθέμενοι, χρησιμοποιώντας τις διευθύνσεις IP 185.190.24[.]54 και 185.190.24[.]33, κατάφεραν να παραβιάσουν έξι λογαριασμούς χρηστών. Ανοικτές πηγές πληροφοριών επιβεβαίωσαν ότι οι εν λόγω διευθύνσεις IP είχαν ιστορικό κακόβουλων ενεργειών, κυρίως επιθέσεων σε διαχειριστικά περιβάλλοντα και τείχη προστασίας (firewalls).
Οι ειριστές του RansomHub Ransomware, επέδειξαν υπομονή και επιμονή, περιμένοντας αρκετές ώρες μετά την επιτυχή σύνδεση στον διακομιστή RDP, πριν ξεκινήσουν την αναγνώριση του δικτύου. Αυτή η προσέγγιση τύπου "low-and-slow" συνέβαλε στο να παραμείνουν απαρατήρητοι από τα συστήματα ανίχνευσης, τα οποία είναι σχεδιασμένα να εντοπίζουν πιο γρήγορες και έντονες επιθέσεις τύπου brute force.
Δείτε ακόμα: RansomHub: Η πιο παραγωγική ομάδα ransomware το 2024
Αφού απέκτησαν πρόσβαση στο δίκτυο, οι επιτιθέμενοι εγκατέστησαν προηγμένα εργαλεία συλλογής διαπιστευτηρίων, κυρίως τα Mimikatz και CredentialsFileView της Nirsoft. Οι δράστες χρησιμοποίησαν εντολές του Mimikatz όπως 'sekurlsa::logonpasswords' και 'lsadump::dcsync' για να αποσπάσουν διαπιστευτήρια διαχειριστών τομέα (domain administrators) από πολλούς θυγατρικούς τομείς. Σύμφωνα με την αναφορά, οι επιτιθέμενοι παρήγαγαν αρχεία εξόδου CSV για κάθε τομέα, κάτι που υποδηλώνει ότι πραγματοποιούσαν συστηματικό έλεγχο πρόσβασης διαχειριστή σε ολόκληρη την εταιρική υποδομή.
Η RansomHub Ransomware επιτίθεται σε διακομιστές RDP
Οι χειριστές του RansomHub συνδύασαν παραδοσιακές τεχνικές τύπου "living-off-the-land" με εμπορικά εργαλεία σάρωσης δικτύου για εκτενή ανακάλυψη της δικτυακής δομής. Εκμεταλλεύτηκαν ενσωματωμένες εντολές των Windows, όπως net, nslookup, nltest, ipconfig και ping, για να καταγράψουν χρήστες, ομάδες, σχέσεις εμπιστοσύνης (domain trusts) και τη συνολική τοπολογία του δικτύου.
Συνιστάται οι οργανισμοί να εφαρμόσουν πολυπαραγοντικό έλεγχο ταυτότητας (MFA) για την πρόσβαση μέσω RDP, να περιορίσουν την έκθεση των υπηρεσιών απομακρυσμένης επιφάνειας εργασίας στο διαδίκτυο και να ενσωματώσουν προηγμένες δυνατότητες ανίχνευσης απειλών στα τελικά σημεία, ώστε να εντοπίζονται δραστηριότητες συλλογής διαπιστευτηρίων.
Η διάρκεια της επίθεσης, που ξεπέρασε τις 118 ώρες, υπογραμμίζει τη σημασία της ταχείας ανίχνευσης και απόκρισης σε απειλές στο πλαίσιο των σύγχρονων στρατηγικών κυβερνοασφάλειας.
Δείτε επίσης: Mission Bank: Η RansomHub πίσω από την παραβίαση δεδομένων;
Ένα σημαντικό συμπέρασμα που προκύπτει από τέτοιες επιθέσεις είναι ότι η ασφάλεια του RDP παραμένει ένας από τους πιο κρίσιμους τομείς για την κυβερνοπροστασία των οργανισμών. Η εύκολη πρόσβαση σε εκτεθειμένους RDP servers από το διαδίκτυο αποτελεί "πύλη εισόδου" για πολλούς επιτιθέμενους όπως απέδειξε η RansomHub Ransomware, ιδιαίτερα όταν δεν εφαρμόζονται βασικά μέτρα όπως MFA ή περιορισμός πρόσβασης μέσω firewall και VPN.
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz