News
Rapport Active Adversary de Sophos : les cybercriminels ont utilisé le protocole Remote Desktop (RDP) à des fins malveillantes dans 90 % des attaques traitées en 2023
avril 2024 par Sophos
Sophos annonce la publication de son dernier rapport intitulé It’s Oh So Quiet (?) : The Sophos Active Adversary Report for 1H 2024. Ce document, qui analyse plus de 150 cas traités par l’équipe Réponse à incident (RI) de Sophos X-Ops, indique que les cybercriminels ont utilisé le protocole RDP (Remote Desktop Protocol) à des fins malveillantes dans 90 % des attaques perpétrées en 2023. Le protocole RDP est employé pour accéder à distance à un ordinateur tournant sous Windows. C’est un véritable record depuis que Sophos a commencé à publier sa série de rapports Active Adversary en 2021 à propos des données de 2020.
De plus, les services externes d’accès à distance tels que le protocole RDP ont été le vecteur le plus souvent exploité par les attaquants pour s’introduire dans un réseau ; cette méthode d’accès initial a été utilisée dans 65 % des cas de réponses à incident en 2023. Les services d’accès à distance ont toujours représenté la méthode d’accès initial la plus fréquemment employée par les cybercriminels depuis que la création des rapports Active Adversary en 2020. En d’autres termes, les équipes de défenseurs doivent y voir une incitation à prioriser la gestion de ces services lors de l’évaluation des risques pour leur entreprise.
« Les services externes d’accès à distance sont un outil nécessaire, mais risqué pour un grand nombre d’entreprises. Les cyberattaquants sont parfaitement conscients des risques inhérents à ces services et cherchent activement à les exploiter compte tenu des trésors qu’ils peuvent en tirer. Exposer des services sans tenir compte des risques induits ni tenter de les atténuer mène inévitablement à une infection. Il ne faut pas longtemps à un cyberattaquant pour localiser et percer un serveur RDP exposé ; faute de contrôles supplémentaires, il n’en faudra guère plus pour trouver le serveur Active Directory qui attend à l’autre extrémité du réseau », explique John Shier, Field CTO, Sophos.
Dans l’un des cas analysés par l’équipe Sophos X-Ops, les attaquants ont réussi à compromettre une société à quatre reprises en l’espace de six mois, obtenant à chaque fois un accès initial via les ports RDP exposés. Une fois à l’intérieur, les hackers ont continué à se déplacer latéralement dans l’infrastructure du client, téléchargeant des binaires malveillants et désactivant la protection des systèmes endpoint avant d’établir un accès à distance.
La compromission des identifiants et l’exploitation des vulnérabilités demeurent les causes initiales les plus courantes. Toutefois, le rapport Active Adversary 2023 pour les responsables techniques publié en août dernier révèle que les identifiants compromis ont dépassé les vulnérabilités au classement des causes initiales les plus fréquentes pour la première fois au premier semestre 2023. Cette tendance s’est confirmée tout au long de l’année 2023, « la compromission d’identifiants représentant 50 % des causes initiales » des cas d’intrusion sur l’ensemble de l’année. Si l’on étudie les données des rapports Active Adversary sur l’ensemble de la période 2020-2023, la compromission d’identifiants représente également la toute première cause initiale d’attaques, dans la mesure où elle intervient dans près d’un tiers des intrusions. Pourtant, dans 43 % des cas de réponse à incident traités en 2023, les entreprises ne disposaient pas d’une méthode d’authentification multifactorielle malgré la prévalence historique de la compromission d’identifiants dans les cyberattaques.
Que ce soit en 2023 ou sur la période 2020-2023, l’exploitation des vulnérabilités est la deuxième cause initiale d’attaque, à hauteur de respectivement 16 % et 30 % des cas de réponses aux incidents.
« La gestion des risques est un processus actif. Les entreprises qui l’appliquent correctement sont mieux protégées que celles qui ne le font pas et qui sont confrontées aux menaces permanentes de cyberattaquants déterminés. La capacité à exploiter les informations représente un aspect important de la gestion des risques de sécurité, au-delà de l’identification et de la hiérarchisation des données. Or, certains risques tels que le protocole RDP ouvert constituent depuis trop longtemps une véritable plaie pour les entreprises, et ce, pour le plus grand plaisir des cyberattaquants qui peuvent directement emprunter la porte principale. Sécuriser leur réseau en minimisant les services exposés et vulnérables, ainsi qu’en renforçant l’authentification, permettront aux entreprises de mieux se protéger et de contrer les cyberattaques avec une efficacité accrue », a ajouté John Shier.
Le rapport Active Adversary publié par Sophos pour le premier semestre 2024 s’appuie sur l’étude de plus de 150 cas de réponse à incident (IR) ayant eu lieu aux quatre coins du monde dans 26 secteurs d’activité. Les entreprises ciblées opèrent dans 23 pays : États-Unis, Canada, Mexique, Colombie, Royaume-Uni, Suède, Suisse, Espagne, Allemagne, Pologne, Italie, Autriche, Belgique, Philippines, Singapour, Malaisie, Inde, Australie, Koweït, Émirats arabes unis, Arabie saoudite, Afrique du Sud et Botswana.
