L'erreur vient de moi, un port exotique ouvert et redirigé vers le 3389, le temps de mon déménagement avant de remonter mon infra avec un "vrai routeur firewall", VPN SSL etc.
Hier soir je me suis retrouvé avec la session admin ouverte et le clavier paramétré en russe
En fouillant dans l'observateur d'évènements j'ai pu constater la première ouverture de session, donc la durée de prise de contrôle, le nom du PC attaquant, et à priori l'IP source, située en Finlande, certainement la sortie du VPN utilisé.
La machine est depuis débranchée du réseau, je souhaite pousser les investigations pour essayer de dessiner les motivation du pirate puis je la formaterai.
Autant que je sache un PC n'enregistre pas le volume de données qui passent par son réseau. C'est pour cela que je me demandais si le fournisseur le faisait lui ?
Concernant le reste des investigations, pour l'instant j'en suis à ces conclusions :
- pas de fichier crypté, à priori c'est pas un ransomware (et le mode opératoire est trop avancé pour ça).
- possible prise de contrôle pour scanner le réseau et rebondir sur un serveur plus intéressant (il a être déçu de pas être tombé sur un poste d'une entreprise du CAC40),
- vol de données pour chantage, usurpation et autres (boites mail, mots de passe enregistrés / Firefox, documents bancaires, photos) : impossible à dire,
c'est pour ça que je souhaite estimer le volume de données éventuellement uploadé.- attaque purement automatique par un bot pour y installer un autre botnet : le clavier en russe me fait malheureusement penser à un intervenant "humain", mais je ne suis pas spécialiste.
Si par hasard il y a un spécialiste dans la salle qui est prêt à m'accorder 5 ou 10 min en privé...