トレンドマイクロは、2016年9月、更新したランサムウェア「CRYSIS（クライシス）」（「RANSOM_CRYSIS」として検出）がオーストラリアとニュージーランドの企業を標的に、「リモート・デスクトップ・プロトコル（RDP）」を経由したブルートフォース（総当り）攻撃を仕掛けていたことについて報告しました。そして現在、RDP経由のブルートフォース攻撃は続行中であり、世界中の大企業や中小企業に影響を及ぼしています。事実、2017年1月には、2016年末に比べ攻撃数が倍増しています。ざまざまな業界が影響を受けていますが、終始一貫して標的とされているのは、米国の医療業界です。

• 攻撃に利用されているIPアドレスの特定を試みてください。新しいバージョンのWindowsでは、オペレーティングシステム（OS）がリモートデスクトップ接続の詳細をWindowsイベントビューアにイベントID 1149で記録します。ログに記録される情報には、利用されたユーザアカウント（例えば、乗っ取られたアカウント）と、攻撃者のIPアドレスなどが含まれます。

RDP経由のブルートフォース攻撃を確認、暗号化型ランサムウェア「CRYSIS」を拡散 | トレンドマイクロ セキュリティブログ