6
DXXD-Ransomware atackiert Windows Server in allen Versionen
https://www.heise.de/security/meldung/Erpressungs-Trojaner-DXXD-nimmt-Wi ...
Bereits seit Ende September atackiert die dxxd Ransomware offenbar gezielt Windows Server.
Das ist neu. Bisher wurde versucht, die Client-Rechner zu kompromittieren und evtl. verbundene (oder erreichbare) Netzlaufwerke (Ordner) mitzuverschlüsseln.
Die gute Nachricht: Nachdem für die erste Variante durch einen Entwickler auf bleepingcomputers sehr schnell ein Entschlüsselungstool angeboten wurde, gibt es aktuell auch bereits für die vom Hacker "verstärkte" Verschlüsselung bereits wieder ein Gegenmittel. http://www.bleepingcomputer.com/news/security/the-dxxd-ransomware-displ ...
Interessant ist, dass der Hacker offenbar behauptet, den Angriff mittels eines 0-Day-Exploits durchzuführen und gleichzeitig sagt, der Angriff wäre "RDP for children."
Sieht aber eher nach Brute-Force-Atacke auf Port 3389 und dem Erlangen von Admin-Rechten aus.
Wer also einen offenen Port 3389 ohne max. failed logins hat, sollte seine Policies überdenken und evtl. doch ein VPN davor schalten oder ein IDS oder...
LG
Buc
Bereits seit Ende September atackiert die dxxd Ransomware offenbar gezielt Windows Server.
Das ist neu. Bisher wurde versucht, die Client-Rechner zu kompromittieren und evtl. verbundene (oder erreichbare) Netzlaufwerke (Ordner) mitzuverschlüsseln.
Die gute Nachricht: Nachdem für die erste Variante durch einen Entwickler auf bleepingcomputers sehr schnell ein Entschlüsselungstool angeboten wurde, gibt es aktuell auch bereits für die vom Hacker "verstärkte" Verschlüsselung bereits wieder ein Gegenmittel. http://www.bleepingcomputer.com/news/security/the-dxxd-ransomware-displ ...
Interessant ist, dass der Hacker offenbar behauptet, den Angriff mittels eines 0-Day-Exploits durchzuführen und gleichzeitig sagt, der Angriff wäre "RDP for children."
Sieht aber eher nach Brute-Force-Atacke auf Port 3389 und dem Erlangen von Admin-Rechten aus.
Wer also einen offenen Port 3389 ohne max. failed logins hat, sollte seine Policies überdenken und evtl. doch ein VPN davor schalten oder ein IDS oder...
LG
Buc
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 317486
Url: https://administrator.de/contentid/317486
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
6 Kommentare
Neuester Kommentar
Ganau das ist der Grund, warum ein RDP nicht öffentlich erreichbar sein sollte. Heute kann jeder Toaster ein VPN aufmachen, man muss es nur einrichten.
Danke für den Hinweis, dass es mittlerweile ein Gegenmittel gibt.
Danke für den Hinweis, dass es mittlerweile ein Gegenmittel gibt.
echt? Also mein Toaster ist da zum Glück noch offline. 
RDP würd ich aber auch nicht ohne VPN von aussen offen lassen...
RDP würd ich aber auch nicht ohne VPN von aussen offen lassen...
1
Viel schlimmer ist, dass heute jeder Toaster im Internet hängt und per default vom Hersteller mit SSH-Zugang und nur unzureichender Absicherung ausgeliefert wird.
https://www.heise.de/security/meldung/SSHowDowN-Zwoelf-Jahre-alter-OpenS ...
Man müsste wohl Hersteller gesetzlich zwingen, dass default-PW's beim ersten Login geändert werden und nur sichere Kombinationen akzeptiert werden.
Wahrscheinlich ist der RDP-Hack auch nur mit Admin und 123456 möglich...
https://www.heise.de/security/meldung/SSHowDowN-Zwoelf-Jahre-alter-OpenS ...
Man müsste wohl Hersteller gesetzlich zwingen, dass default-PW's beim ersten Login geändert werden und nur sichere Kombinationen akzeptiert werden.
Wahrscheinlich ist der RDP-Hack auch nur mit Admin und 123456 möglich...
Wahrscheinlich ist der RDP-Hack auch nur mit Admin und 123456 möglich...
Ahoi ......
Hallo? wieso verrätst du hier mein Passwort?
VG
Servus,
bedingt doch, dass der Nutzer so vertrauensselig in das IoT ist, dass jedes neuartige "Spielzeug" (elektronisches Gerät) tatsächlich ins Internet gelassen wird!
Gruß
VGem-e
bedingt doch, dass der Nutzer so vertrauensselig in das IoT ist, dass jedes neuartige "Spielzeug" (elektronisches Gerät) tatsächlich ins Internet gelassen wird!
Gruß
VGem-e
Geht noch weiter: https://www.heise.de/security/meldung/DDoS-Attacke-kappte-zeitweilig-Int ...
Ich frage mich aber auch, wie es sein kann, dass dermassen viele Geräte offenbar direkt im Internet hängen.
Oder die Infektion findet über infizierte (Windows-) Clients statt, so dass die Malware im internen Netz die IoT Geräte kompromittiert.
Trotzallem ist es immer wieder bedenkenswert, dass der Standard "Erreichbarkeit" und nicht "Sicherheit" ist....
Da gibt es klare Interessen und die Botnets sind evtl. nur der "Kollateralschaden" der möglicherweise in Kauf genommen wird.
@ashmod: man nimmt mindestens 12345678
Ich frage mich aber auch, wie es sein kann, dass dermassen viele Geräte offenbar direkt im Internet hängen.
Oder die Infektion findet über infizierte (Windows-) Clients statt, so dass die Malware im internen Netz die IoT Geräte kompromittiert.
Trotzallem ist es immer wieder bedenkenswert, dass der Standard "Erreichbarkeit" und nicht "Sicherheit" ist....
Da gibt es klare Interessen und die Botnets sind evtl. nur der "Kollateralschaden" der möglicherweise in Kauf genommen wird.
@ashmod: man nimmt mindestens 12345678
