Blogue
/
Confinement des ransomwares

Comment arrêter les attaques de rançongiciels basées sur le RDP avec Illumio

Ron Isaacson
,
Directeur principal, directeur technique de terrain
January 7, 2022
23 min. de lecture

Plus de 90 % des attaques de rançongiciels sont évitables, selon Gartner. Ils sont également assez prévisibles dans une certaine mesure, car les attaquants ont tendance à suivre l'un des rares vecteurs de menace. La plus populaire est l'exploitation du protocole RDP (Remote Desktop Protocol), qui a représenté près de la moitié des attaques au troisième trimestre 2021, selon une estimation. 

En résumé : si votre organisation peut améliorer ses capacités d'arrêt attaques de ransomware via RDP, il a de grandes chances de minimiser les cyberrisques à tous les niveaux.

La bonne nouvelle, c'est qu'Illumio offre visibilité et contrôle là où les entreprises en ont le plus besoin : pour comprendre où elles sont le plus exposées, puis déployer une politique à grande échelle pour restreindre les communications RDP.

Qu'est-ce que le RDP ?

RDP est un protocole Microsoft qui permet aux utilisateurs d'ordinateurs de se connecter à distance à des PC et à des serveurs. Il fonctionne sur tous les serveurs Windows, ce qui en fait une cible de choix pour les attaques.

Les attaques RDP ont augmenté pendant la pandémie, lorsque l'utilisation des solutions d'accès à distance par les travailleurs à domicile a également explosé. Selon une étude, le volume d'appareils exposant le RDP à l'Internet public sur des ports standard a augmenté de plus de 40 % en un mois.

Comment le RDP est-il utilisé de manière abusive ?

Plusieurs facteurs expliquent pourquoi le RDP attaques de ransomware ont tellement de succès.

De nombreuses organisations ont une faible visibilité sur leur infrastructure de réseau informatique. Cela signifie qu'ils ne savent peut-être pas combien de voies RDP sont ouvertes. Les attaques tirent également parti des défis de sécurité courants des entreprises, notamment la gestion efficace des correctifs et des mots de passe.

Voici comment cela fonctionne :

  1. Un attaquant recherchera Serveurs Windows avec des adresses IP publiques et un port ouvert 3389 (couramment utilisé pour le RDP).
  2. Une fois ceux-ci localisés, l'acteur de la menace cherchera à compromettre les serveurs exposés via :
  3. Exploiter les vulnérabilités de Microsoft qui pourraient leur permettre de contourner l'authentification RDP ou d'exécuter directement des programmes malveillants via une connexion.
  4. Comptes RDP par force brute protégés uniquement par des informations d'identification faibles. Parfois, ces tentatives automatisées de deviner le mot de passe sera réalisé pendant plusieurs jours pour éviter de donner l'alerte.
  7. Une fois l'accès initial obtenu, l'attaquant peut utiliser le protocole RDP ou d'autres techniques pour se déplacer latéralement vers d'autres actifs et données. Il aura fini par s'implanter suffisamment dans le réseau de la victime pour déployer un rançongiciel généralisé et/ou voler des données sensibles à des fins d'extorsion.

Bloquer les attaques de ransomware RDP

La prévention des attaques de rançongiciels RDP consiste en partie à s'assurer que les systèmes sont protégés par des correctifs à jour et à activer l'authentification multifactorielle pour limiter les tentatives de piratage de mots de passe.

Mais plus fondamentalement, il s'agit d'abord de comprendre où s'exécute le protocole RDP au sein de votre organisation et où vous pouvez couper les connexions sans affecter les processus métier ou la productivité. Le blocage du port 3389 sur ces serveurs fera l'affaire.

Cette réduction de la surface d'attaque peut contribuer à minimiser le nombre de points d'intrusion potentiels. Cela réduira également la possibilité pour les attaquants d'exploiter le RDP pour se déplacer sur un réseau. Il ne reste donc plus qu'un petit nombre de serveurs à surveiller et à sécuriser grâce à des politiques d'authentification conformes aux meilleures pratiques.

Comment Illumio peut vous aider

Illumio est déjà utilisé par certains des plus grands et des plus exigeants du monde organisations pour atténuer la menace des rançongiciels, y compris celle de plus de 10 % des entreprises du Fortune 100. Nous proposons le granulaire visibilité vous devez comprendre où se déroule la communication RDP et comment la bloquer si nécessaire.

L'approche simple en trois étapes d'Illumio pour minimiser le risque de rançongiciel RDP est la suivante :

  1. Cartographier tous les serveurs et connexions RDP
  2. Identifier les communications RDP essentielles et non essentielles
  3. Passez à l'action grâce à un déploiement simple et rapide de politiques visant à restreindre les communications non essentielles à grande échelle

Pour lire d'autres conseils sur les meilleures pratiques sur la réduction des risques liés aux rançongiciels et sur la manière dont Illumio peut aider à bloquer les menaces, consultez notre nouvel ebook, Comment arrêter les attaques de rançongiciels.

Sujets connexes

Aucun article n'a été trouvé.

Articles connexes

Comment arrêter la variante Clop Ransomware avec Illumio
Confinement des ransomwares

Comment arrêter la variante Clop Ransomware avec Illumio

Le paysage des rançongiciels est complexe et instable. Les variantes vont et viennent, les développeurs s'empruntent et se volent les uns aux autres, et les affiliés ajoutent leurs propres personnalisations sur mesure.

En savoir plus
Bloquer les rançongiciels : identifiez vos menaces grâce à Illumio
Confinement des ransomwares

Bloquer les rançongiciels : identifiez vos menaces grâce à Illumio

En savoir plus
Ransomware : comment les petites et moyennes entreprises peuvent arrêter sa propagation
Confinement des ransomwares

Ransomware : comment les petites et moyennes entreprises peuvent arrêter sa propagation

En savoir plus
Aucun article n'a été trouvé.

Supposez Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus