News
Cybermenaces, Remote Desktop Protocol et COVID-19 - Recherche McAfee
mai 2020 par McAfee
McAfee dévoile ses deux dernières recherches présentant le paysage des menaces depuis le début de l’épidémie de COVID-19 :
• La 1re recherche présente l’augmentation des attaques comme vecteur d’intrusion sur le protocole RDP (Remote Desktop Protocol). Par ailleurs, il apporte également des informations sur le nombre de crédentials RDP volés mis en vente sur le darkweb.
• La 2e recherche dépeint le paysage actuel des logiciels malveillants tirant profit de la crise sanitaire actuelle.
De janvier à mars 2020, McAfee a analysé les attaques contre les ports RDP et le volume d’identifiants RDP vendus sur les marchés clandestins. Les chercheurs concluent que l’attention portée au RDP sur le darkweb a été amplifiée par le télétravail mis en place par les entreprises en raison du COVID-19.
Parmi les principaux enseignements de la recherche :
• Le nombre de ports RDP exposés sur le web est passé d’environ 3 millions en janvier 2020 à près de 4,5 millions en mars, dont une grande majorité aux États-Unis et en Chine.
• 52 % (plus de 20 000 au total) des identifiants RDP volés proviennent de Chine, suivie par le Brésil à 9 % et Hong Kong à 6 %. Mais les chercheurs ont identifés que les auteurs de marketplace ne mettaient pas en ligne toutes les données volées.
• Les trois façons dont les attaquants s’infiltrent dans les systèmes RDP :
1. Mots de passe faibles – les mots de passe les plus utilisés sont 123, P@ssw0rd et 123456. On note également qu’un grand nombre de systèmes ne comportent pas de mot de passe.
2. Vulnérabilités et absence de correctifs - Les vulnérabilités telles que le BlueKeep en 2019 et les retards dans l’application des correctifs rendent les systèmes plus vulnérables.
3. Le protocole RDP est un des vecteurs les plus utilisé pour la diffusion de ransomware.
Afin de lutter contre l’augmentation des menaces liées au RDP et aux logiciels malveillants, McAfee Endpoint Security s’est enrichi de nouvelles fonctionnalités, notamment :
• Enhanced Remediation : surveille tout processus dont la réputation est inconnue et sauvegarde les modifications apportées par ces derniers. S’ils présentent un comportement malveillant déterminé par l’analyse du machine learning, la remédiation améliorée ramène automatiquement les modifications apportées au système et aux documents à un état antérieur.
• Story Graph : fournit une représentation visuelle des détections de menaces. La visualisation fournit une analyse chronologique et un contexte autour de l’événement afin que les administrateurs ou les analystes de sécurité puissent rapidement arrêter le comportement malveillant et empêcher toute activité de suivi voulue par l’attaquant.
