Распыление паролей через открытый RDP: как одна уязвимость привела к катастрофическому внедрению RansomHub

Атака началась с четырехчасового распыления паролей на публично доступном RDP-сервере, где злоумышленники использовали IP-адреса 185.190.24.54 и 185.190.24.33, уже отмеченные в OSINT-источниках как связанные с подбором учетных данных. Успешно скомпрометировав шесть учетных записей, они вошли под привилегированным пользователем с IP 164.138.90.2, получив административные права через Elevated Token. Это стало отправной точкой для многоэтапной операции, завершившейся шифрованием данных и требованием выкупа.

Первые часы после взлома злоумышленники посвятили разведке, используя встроенные Windows-инструменты: "nslookup" для идентификации контроллеров домена, "net" для перечисления пользователей и групп, "nltest" для анализа доверительных отношений между доменами. Параллельно с помощью Advanced IP Scanner и SoftPerfect NetScan они сканировали сеть, фокусируясь на портах 135 (RPC), 445 (SMB) и 3389 (RDP). Критическим этапом стало применение Mimikatz и Nirsoft CredentialsFileView для кражи учетных данных. Mimikatz использовался для дампа памяти LSASS и выполнения DCSync-атак, что позволило злоумышленникам подтвердить наличие привилегированных аккаунтов во всех дочерних доменах. Эксперты отмечают, что команды вида "lsadump::dcsync /domain:CHILD.DOMAIN.EXAMPLE /user:DOMAINADMINUSER /csv" указывают на целенаправленную проверку единых паролей для администраторов доменов.

На второй день атаки началось латеральное перемещение. Через RDP злоумышленники подключились к контроллерам домена, где через графический интерфейс изучали DNS и Active Directory с помощью оснасток MMC: dnsmgmt.msc, domain.msc и dsa.msc. Для сохранения доступа они установили легитимные RMM-инструменты Atera и Splashtop, маскируя активность под администрирование. В логах Splashtop (SPLog.txt) обнаружены следы виртуальной машины с хостнеймом WINVM и IP 10.0.2.15 - типичный адрес для VirtualBox, что говорит о подготовленной инфраструктуре злоумышленников. Третий день ознаменовался эксфильтрацией 2.03 ГБ данных через Rclone, настроенный на передачу документов, таблиц и писем по SFTP на IP 38.180.245.207 через порт 443. Помогали вспомогательные скрипты: VBS-файл "nocmd.vbs" запускал пакетный сценарий "rcl.bat", который использовал "include.txt" с перечнем целевых расширений файлов.

Кульминацией стала шестая фаза: развертывание RansomHub. Исполняемый файл "amd64.exe" был скопирован через Splashtop и запущен с параметром "-pass [REDACTED]". Рансомвер использовал SMB для распространения по сети, создавая службы со случайными именами. Перед шифрованием он выполнял агрессивные команды: останавливал виртуальные машины через PowerShell ("Stop-VM -Force"), удалял теневые копии ("vssadmin.exe Delete Shadows"), разрешал символические ссылки для обхода защиты ("fsutil behavior set SymlinkEvaluation") и очищал журналы событий ("wevtutil cl"). Финал включал шифрование файлов и оставление заметки с требованием выкупа от группы RansomHub. Общее время от взлома до атаки (Time to Ransomware) составило 118 часов.

Анализ показал несколько тревожных упущений в защите. Открытый RDP-сервер без ограничений попыток входа позволил провести распыление паролей. Отсутствие сегментации сети облегчило латеральное перемещение, а недостаточный мониторинг процессов (особенно LSASS) не выявил использование Mimikatz. Ключевой урок - критически важно закрывать RDP от публичного доступа, внедрять многофакторную аутентификацию и контролировать выполнение скриптов. В эпоху, когда 60% атак начинаются с компрометации учетных данных, этот случай - жесткое напоминание: один незащищенный порт может стоить миллионов ущерба и репутационных потерь.

IPv4

• 164.138.90.2
• 185.190.24.33
• 185.190.24.54

IPv4 Port Combinations

• 38.180.245.207:443

MD5

• 1cc1534b70b8d2b99b69a721c83e586a
• 6f3a658fc32b4a378716ac167ebaf5ac
• 8e0b1f8390acb832dbf3abadeb7e5fd3
• a768244ca664349a6d1af84a712083c0
• eba5bfca73c2754fbf93ed64fa224132

SHA256

• 25117dcb2d852df15fe44c5757147e7038f289e6156b0f6ab86d02c0e97328cb
• 4775dfb24f85f5d776f538018a98cc6a9853a1840f5c00b7d0c54695f03a11d9
• e14ba0fb92e16bb7db3b1efac4b13aee178542c6994543e7535d8efaa589870c
• ec45ebd938e363e36cacb42e968a960fbe4e21ced511f0ea2c0790b743ff3c67
• ffd09a5c27938d1f7424ed66d1474cfeb3df72daabdf10e09f161ed1ffd21271