Vectra vient de publier un nouveau rapport Spotlight sur les cyberattaques utilisant le protocole RDP (Remote Desktop Protocol) avec une information principale : lorsqu’une entreprise utilise un protocole RDP, dans 90% celui-ci présente des signes d’utilisation malveillante par des cybercriminels ! L’industrie manufacturière est le secteur le plus sujet à des activités RDP suspectes, devant la finance, les assurances, le retail, la santé et le secteur public.
Rapport Vectra – Le problème est que le protocole RDP (lancé par Microsoft dans les années 90) est encore très largement utilisé par les entreprises dans le monde entier. Ce taux d’adoption du RDP en a toujours fait une cible de choix pour les cyberattaquants et le RDP est effectivement utilisé dans de très nombreux cas d’attaques bien connues, – d’espionnage ou de ransomware (en premier lieu Wannacry, SamSam ; le Port de San Diego a récemment été victime d’une attaque de ce type) par exemple, et par de nombreux groupes d’attaquants tels que : Axiom (groupe chinois), Dragonfly 2.0, Carbanak, APT 39 (groupe suspecté d’être sponsorisé par l’Iran), Lazarus Group (malware SierraCharlie), APT40 (groupe suspecté d’être sponsorié par l’Etat chinois), etc.
Vectra, l’un des spécialistes de la détection et réponse aux incidents réseau (Network Detection and Response), met en lumière, à travers son dernier Spotlight Report, la vulnérabilité importante du RDP et son exposition large aux attaques. Très pratique pour l’entreprise, le protocole RDP est de plus en plus utilisé au sein des entreprises, alors qu’il pose un vrai problème pour la sécurité des données…
Les cyberattaquants empruntent généralement la voie la plus facile pour atteindre leurs objectifs. En effet, ils tenteront d’abord d’utiliser les outils d’administration existants avant d’introduire des programmes malveillants dans le but de faire de la reconnaissance interne et exfiltrer les données d’un réseau.
Chris Morales, Directeur Security Analytics chez Vectra commente : « Les cybercriminels savent que le RDP est un outil d’administration facile d’accès qui leur permet de rester dissimulés pendant une attaque ».
Le RDP, un protocole vital mais vulnérable
Le RDP est l’un des protocoles d’infogérance les plus populaires, il est utilisé par les administrateurs systèmes pour contrôler de façon centralisée les systèmes distants. Le RDP est par exemple vital pour les fournisseurs de programmes d’infogérance (MSP) dans leur gestion de centaines de réseaux et de systèmes clients.
Selon le Rapport Spotlight 2019 sur le RDP, la plateforme Cognito de la société a détecté 26 800 activités RDP suspectes dans environ 350 déploiements du protocole.
Les données de Vectra confirment que le RDP reste un protocole très populaire auprès des cyber attaquants, 90% de ces déploiements présentant des détections de comportements malveillants utilisant le RDP.
L’industrie manufacturière est le secteur le plus sujet à des activités RDP suspectes
Les entreprises manufacturières et financières ont le taux le plus élevé de détections RDP, soit entre 8 et 10 détections pour 10 000 terminaux (workloads). Les cinq principaux secteurs à risque sont l’industrie manufacturière, la finance et les assurances, le retail, la santé et le secteur public.
L’industrie manufacturière, la finance et l’assurance, et le commerce de détail représentent à eux seuls près de la moitié (49,8 %) de toutes les détections d’activités RDP suspectes.
Dans l’industrie manufacturière, les ETI ont le taux le plus élevé de détections d’utilisation malveillantes du RDP, à un taux de 20 pour 10 000 terminaux (workloads), ce qui est supérieur de 82% à la moyenne du secteur du commerce de détail, qui est le deuxième sous-secteur le plus touché.
Bien que l’industrie manufacturière ait le taux le plus élevé de détections d’activités RDP suspectes, les DSI ont tendance à se concentrer sur les économies de temps et d’argent induites par une gestion centralisée, au risque de voir un cyberattaquant exploiter le RDP. L’utilisation de ce protocole apporte une valeur ajoutée importante car il permet une gestion centralisée des systèmes métier géographiquement distribués.
Tout au long du cycle de vie de l’attaque, les cybercriminels effectuent une reconnaissance interne et se déplacent latéralement pour tenter d’accéder aux données sensibles. L’omniprésence du RDP sur les systèmes Windows et son utilisation fréquente par les administrateurs système font de ce protocole l’outil idéal pour les cyberattaquants pour éviter la détection lors de l’exécution de ces fonctions.
Chris Morales conclut : « Il est essentiel que les équipes chargées de la sécurité comprennent comment le RDP est utilisé par les attaquants, car il constituera encore une menace dans un avenir proche ».
Les commentaires sont fermés.