Selon Sophos, RDP est détourné dans plus de 90 % des cyberattaques

Les acteurs malveillants abusent de la fonction d’accès à distance de Windows (RDP) dans leurs cinétiques d’attaque à un rythme sans précédent, selon les analyses de Sophos dans son dernier Active adversary report. Ce rapport étudie plus de 150 cas de réponse à incident sur lesquels ses équipes X-Ops sont intervenues en 2023.

L’année dernière, l’exploitation de RDP a été constatée dans 90 % des cas, soit le taux le plus élevé depuis le rapport 2021, qui couvrait les données de 2020, année où la pandémie a atteint son apogée.

Dans un cas, les attaquants ont réussi à compromettre la victime pas moins de quatre fois sur une période de six mois, en obtenant à chaque fois un accès initial par le biais de services RDP exposés – ce qui était également le vecteur le plus courant par lequel les attaquants pénétraient dans les réseaux, pour 65 % des cas documentés.

Une fois dans le réseau de la victime, les attaquants ont continué à se déplacer latéralement dans leur réseau, téléchargeant des binaires malveillants, désactivant les outils de cybersécurité qui protégeaient leurs terminaux et établissant un contrôle à distance. « Les services à distance externes sont nécessaires, mais risqués, pour de nombreuses entreprises », relève John Shier, directeur technique de Sophos. « Les attaquants comprennent les risques que posent ces services et cherchent activement à les détourner en raison de l’argent qu’ils peuvent en tirer ».

« Exposer des services sans prendre en compte et sans atténuer leurs risques conduit inévitablement à la compromission. »

« Exposer des services sans prendre en compte et sans atténuer leurs risques conduit inévitablement à la compromission », a-t-il ajouté. « Il ne faut pas longtemps à un pirate pour trouver un serveur RDP exposé et y pénétrer, puis (sans contrôles supplémentaires) pour trouver le serveur Active Directory qui attend de l’autre côté ».

Pour John Shier, un aspect important de la gestion des risques – au-delà de la simple identification et de l’établissement de priorités – consiste à agir sur la base des informations disponibles. Or, des risques tels que les services RDP exposés continuent d’affliger les victimes « pour le plus grand plaisir des attaquants », ce qui suggère que trop d’organisations ne font tout simplement pas attention.

« La gestion des risques est un processus actif », souligne John Shier. « Les organisations qui y parviennent bien connaissent de meilleures situations de sécurité que celles qui ne le font pas, face aux menaces permanentes d’attaquants déterminés… Sécuriser le réseau en réduisant les services exposés et vulnérables et en renforçant l’authentification rendra les organisations plus sûres dans l’ensemble et plus aptes à vaincre les cyberattaques ».

La dernière édition de la série Active adversary révèle également que si l’exploitation des vulnérabilités et l’utilisation d’informations d’identification compromises sont les causes premières les plus courantes des cyberattaques, l’utilisation d’informations d’identification volées est devenue plus répandue et est maintenant observée dans plus de 50 % des cas de réponse aux incidents – l’exploitation des vulnérabilités représentant 30 % de plus.

John Shier y voit une préoccupation particulière étant donné que dans 43 % des cas, les organisations n’avaient pas configuré correctement (ou pas du tout) l’authentification à facteurs multiples (MFA).

Parmi les autres causes moins courantes observées par Sophos figurent les attaques par force brute (3,9 % des cas), l’hameçonnage (3,3 %) et la compromission de la chaîne d’approvisionnement (2,6 %). Dans 13,6 % des cas, il n’a pas été possible d’identifier la cause première.