Les ransomwares étaient monnaie courante en 2017 et des utilisateurs mal préparés ont été pris au dépourvu. La panique s'est généralisée alors que les victimes s'efforçaient de protéger des données précieuses, succombant souvent aux exigences criminelles de payer des rançons de plus en plus chères via la crypto-monnaie, dont la valeur montait en flèche. Malheureusement, répondre à ces demandes ne garantissait pas le retour des fichiers en parfait état, ce qui en ferait une année favorable pour les auteurs de ransomware..

Au fil du temps, il est devenu de plus en plus difficile pour les auteurs de ransomware d’effrayer les victimes pour qu’elles paient pour récupérer leurs données, en adoptant davantage de meilleures pratiques simples, telles que les sauvegardes ponctuelles et dans le cloud. Ceci, combiné au nombre croissant d'utilisateurs se tournant vers Windows 10, un système d'exploitation plus sécurisé, a forcé les pirates informatiques à faire preuve de plus de créativité. La menace du ransomware est toujours réelle et adopte en fait un modèle commercial plus ciblé via des connexions RDP non sécurisées comme vecteur d’attaque..

  • Nous avons également mis en évidence le meilleur antivirus

Exploitation de connexions RDP non sécurisées

Alors que les connexions RDP prennent en charge les pratiques de travail modernes, en permettant un accès hors site à une machine et à un réseau, elles peuvent constituer un maillon faible des défenses de cybersécurité d'une organisation. Ce vecteur d’attaque gagne en popularité auprès des cybercriminels qui utilisent des outils tels que Shodan pour rechercher des entreprises qui n’ont pas créé les paramètres RDP adéquats, laissant ainsi leur environnement infiltré. Même les cybercriminels moins sophistiqués peuvent visiter le «Web sombre» pour acheter un accès RDP à des machines déjà piratées. Une fois l'accès à un système donné, les criminels peuvent parcourir toutes les données du système ou des lecteurs partagés pour en évaluer la valeur. Cela aide le criminel à décider s'il souhaite déployer un ransomware ou d'autres charges utiles - celui qui aura l'impact et la rentabilité les plus importants. Cette approche ciblée améliore les chances pour une organisation de payer la rançon, car le contenu crypté sera de la plus haute valeur et de la plus grande importance..

Les cybercriminels en action

Ce n'est pas théorique. Le groupe notoire SamSam Ransomware et ses campagnes ont généré des millions de dollars en crypto-monnaie plus tôt cette année, grâce à un protocole RDP mal configuré. Les attaques médiatisées ont fait la une des journaux lorsqu'elles ont fermé les secteurs gouvernementaux d'Atlanta et du Colorado, aux côtés du géant des tests médicaux LabCorp. Dans les cas d'Atlanta et du Colorado, ces États ont choisi de ne pas payer la rançon et ont plutôt décidé de reconstruire leurs systèmes informatiques, à hauteur de plus de 2,5 millions de dollars (dans le cas d'Atlanta). Mais il existe désormais de multiples choix viables pour les charges utiles dans un compromis RDP. Parce que le criminel peut voir tout le matériel installé, il est facile de déterminer si le processeur et le processeur graphique installés génèrent plus de crypto-monnaie d'extraction de profit que si les attaquants déployaient simplement une infection par ransomware.

Défense contre les attaques

L'importance de l'éducation ne peut être sous-estimée et joue un rôle crucial dans la protection d'une organisation contre les compromis. Les services informatiques laissent souvent les ports par défaut ouverts et sont peu scrupuleux en matière de politique de mot de passe, soulignant ainsi le fait que les employés sont le maillon faible. Une formation continue sur la manière de configurer l'environnement et d'établir une base de résilience est aussi importante pour une entreprise de 50 employés que pour une multinationale. Selon le Rapport sur les menaces à la mi-année 2018 de Webroot, les organisations qui ont mis en œuvre onze campagnes de sensibilisation à la sécurité ou plus ont vu leur taux de clic sur les courriels de phishing chuter à 13%. En outre, l’évaluation de l’impact de cette formation devrait être réalisée, étayée par un plan de secours complet.

Ransomware continue de frapper des organisations de différentes tailles et industries. Les récentes attaques contre l'autorité portuaire de San Diego et l'aéroport de Bristol mettent en évidence l'impact direct et les perturbations pouvant survenir, même pour les services publics. La meilleure défense consiste à sensibiliser les employés à la sécurité, en particulier pour éviter les attaques de phishing susceptibles de compromettre les informations d'identification de leur système, et à installer un logiciel anti-malware pour protéger les informations de valeur. Aucune organisation n'est à l'abri d'attaques et seule une posture de sécurité robuste peut atténuer ces menaces..

Tyler Moffitt, analyste principal de la recherche sur les menaces à Webroot