L'originalité de ce code malveillant concerne sa méthode de propagation. Les incidents rencontrés par le CERT-FR appuient l'hypothèse d'une infection initiale basée sur le service RDP accessible depuis Internet. Un mot de passe faible ou dérobé est à l'origine de l'ouverture de session à distance.

Recommandations

Si les bonnes pratiques afin de se prémunir contre les rançongiciels sont toujours applicables, ce mode opératoire rappelle également la nécessité de protéger les accès aux services d'administration à distance. Dans ce cas précis, le risque de compromission du fait de l'exposition du service RDP à Internet doit être évalué : ce service ne doit être accessible sur Internet si cela est strictement nécessaire. Dans tous les cas, une politique de mot de passe adaptée doit être appliquée afin d'éviter un accès opportuniste à un service d'administrations à distance (attaque par force brute, mot de passe trivial, etc.).

Par ailleurs, un audit régulier de la surface d'exposition d'un système d'information à Internet permet de détecter au plus tôt un défaut de configuration d'un équipement réseau ou une régression des règles de filtrage.

Source : 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information