my tweets are severely limited by my lack of understanding of what I am doing.
This appears to be spreading, at least in part, using PsExec to admin$ shares..
If strongly looks like Psexec via SMB, uses Rundll32 to deliver itself. Needs remote admin rights. Analysis so far.
-
-
So not ETBL ? Just using standard captured admin privilege credentials to spread ?
Dziękujemy. Twitter skorzysta z tych informacji, aby Twoja oś czasu bardziej Ci odpowiadała. CofnijCofnij
-
-
-
Wow, given the spread that's crazy how many accounts would have local admin on remote machines. People with "domain users" in local admin?
Dziękujemy. Twitter skorzysta z tych informacji, aby Twoja oś czasu bardziej Ci odpowiadała. CofnijCofnij
-
-
-
https://twitter.com/PolarToffee/status/879709615675641856 … Looks like it is using EternalBlue
-
What are we calling this? Just to allow coordination
#ransomeware#anotherone
Koniec rozmowy
Nowa rozmowa -
-
-
hi Beaumont
Dziękujemy. Twitter skorzysta z tych informacji, aby Twoja oś czasu bardziej Ci odpowiadała. CofnijCofnij
-
-
-
which version of SMB has been exploited ?
Dziękujemy. Twitter skorzysta z tych informacji, aby Twoja oś czasu bardziej Ci odpowiadała. CofnijCofnij
-
-
-
Any indication of client side attack from 2017-0199?
Dziękujemy. Twitter skorzysta z tych informacji, aby Twoja oś czasu bardziej Ci odpowiadała. CofnijCofnij
-
Wydaje się, że ładowanie zajmuje dużo czasu.
Twitter jest przeciążony lub wystąpił chwilowy problem. Spróbuj ponownie lub sprawdź status Twittera, aby uzyskać więcej informacji.