RDP als Achterdeur: Hoe een Password Spray-aanval Leidde tot RansomHub Ransomware

Een organisatie werd slachtoffer van een RansomHub-ransomware-aanval na een succesvolle password spraying-aanval op een openbaar toegankelijke RDP-server. De aanvallers verkregen toegang tot meerdere accounts, voerden netwerkverkenning uit met tools zoals Mimikatz en Advanced IP Scanner, exfiltreerden meer dan 2 GB aan gegevens via Rclone en verspreidden uiteindelijk de ransomware via SMB en remote services. De volledige aanval duurde ongeveer 118 uur.

Aanbevelingen:

1. Beperk of sluit RDP-toegang af: Zorg ervoor dat RDP niet direct toegankelijk is vanaf het internet. Gebruik VPN’s of andere beveiligde toegangsmethoden.
2. Implementeer Multi-Factor Authenticatie (MFA): Voeg een extra beveiligingslaag toe aan alle externe toegangspunten.
3. Gebruik sterke wachtwoorden en accountvergrendeling: Voorkom het gebruik van zwakke of standaardwachtwoorden en stel accountvergrendeling in na meerdere mislukte inlogpogingen.
4. Monitor op ongebruikelijke activiteiten: Houd inlogsessies en het gebruik van tools zoals Mimikatz en Advanced IP Scanner nauwlettend in de gaten.
5. Beperk gebruikersrechten: Geef gebruikers alleen de minimale benodigde rechten om hun taken uit te voeren.
6. Regelmatige back-ups en hersteltests: Maak frequent back-ups en test regelmatig het herstelproces om gegevensverlies te minimaliseren bij een aanval.
7. Educatie en bewustwording: Train medewerkers om phishingpogingen en andere sociale engineering-aanvallen te herkennen en te melden.
8. Houd systemen up-to-date: Installeer regelmatig beveiligingsupdates en patches om bekende kwetsbaarheden te verhelpen.

Lees hier verder het hele raport:

• https://thedfirreport.com/2025/06/30/hide-your-rdp-password-spray-leads-to-ransomhub-deployment/