the-buccaneer
Goto Top

DXXD-Ransomware atackiert Windows Server in allen Versionen

https://www.heise.de/security/meldung/Erpressungs-Trojaner-DXXD-nimmt-Wi ...

Bereits seit Ende September atackiert die dxxd Ransomware offenbar gezielt Windows Server.
Das ist neu. Bisher wurde versucht, die Client-Rechner zu kompromittieren und evtl. verbundene (oder erreichbare) Netzlaufwerke (Ordner) mitzuverschlüsseln.

Die gute Nachricht: Nachdem für die erste Variante durch einen Entwickler auf bleepingcomputers sehr schnell ein Entschlüsselungstool angeboten wurde, gibt es aktuell auch bereits für die vom Hacker "verstärkte" Verschlüsselung bereits wieder ein Gegenmittel. http://www.bleepingcomputer.com/news/security/the-dxxd-ransomware-displ ...

Interessant ist, dass der Hacker offenbar behauptet, den Angriff mittels eines 0-Day-Exploits durchzuführen und gleichzeitig sagt, der Angriff wäre "RDP for children."

Sieht aber eher nach Brute-Force-Atacke auf Port 3389 und dem Erlangen von Admin-Rechten aus.

Wer also einen offenen Port 3389 ohne max. failed logins hat, sollte seine Policies überdenken und evtl. doch ein VPN davor schalten oder ein IDS oder...

LG
Buc

Content-Key: 317486

Url: https://administrator.de/contentid/317486

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: Augenadler
Augenadler 12.10.2016 um 10:39:31 Uhr
Goto Top
Ganau das ist der Grund, warum ein RDP nicht öffentlich erreichbar sein sollte. Heute kann jeder Toaster ein VPN aufmachen, man muss es nur einrichten.
Danke für den Hinweis, dass es mittlerweile ein Gegenmittel gibt.
Mitglied: mathu
mathu 14.10.2016 aktualisiert um 09:49:41 Uhr
Goto Top
echt? Also mein Toaster ist da zum Glück noch offline. face-smile

RDP würd ich aber auch nicht ohne VPN von aussen offen lassen...
Mitglied: the-buccaneer
the-buccaneer 16.10.2016 um 00:19:42 Uhr
Goto Top
Viel schlimmer ist, dass heute jeder Toaster im Internet hängt und per default vom Hersteller mit SSH-Zugang und nur unzureichender Absicherung ausgeliefert wird.
https://www.heise.de/security/meldung/SSHowDowN-Zwoelf-Jahre-alter-OpenS ...

Man müsste wohl Hersteller gesetzlich zwingen, dass default-PW's beim ersten Login geändert werden und nur sichere Kombinationen akzeptiert werden.

Wahrscheinlich ist der RDP-Hack auch nur mit Admin und 123456 möglich...
Mitglied: ashnod
ashnod 02.11.2016 um 14:21:42 Uhr
Goto Top
Wahrscheinlich ist der RDP-Hack auch nur mit Admin und 123456 möglich...

Ahoi ......
Hallo? wieso verrätst du hier mein Passwort? face-wink

VG
Mitglied: VGem-e
VGem-e 02.11.2016 um 14:29:34 Uhr
Goto Top
Servus,

bedingt doch, dass der Nutzer so vertrauensselig in das IoT ist, dass jedes neuartige "Spielzeug" (elektronisches Gerät) tatsächlich ins Internet gelassen wird!

Gruß
VGem-e
Mitglied: the-buccaneer
the-buccaneer 05.11.2016 um 02:58:40 Uhr
Goto Top
Geht noch weiter: https://www.heise.de/security/meldung/DDoS-Attacke-kappte-zeitweilig-Int ...

Ich frage mich aber auch, wie es sein kann, dass dermassen viele Geräte offenbar direkt im Internet hängen.
Oder die Infektion findet über infizierte (Windows-) Clients statt, so dass die Malware im internen Netz die IoT Geräte kompromittiert.
Trotzallem ist es immer wieder bedenkenswert, dass der Standard "Erreichbarkeit" und nicht "Sicherheit" ist....

Da gibt es klare Interessen und die Botnets sind evtl. nur der "Kollateralschaden" der möglicherweise in Kauf genommen wird. face-wink

@ashmod: man nimmt mindestens 12345678 face-wink