Comment arrêter les attaques de ransomware basées sur RDP avec Illumio

Over 90 percent of ransomware attacks are preventable, according to Gartner. They’re also fairly predictable to a certain extent, as attackers tend to follow one of just a handful of threat vectors. The most popular is Remote Desktop Protocol (RDP) exploitation, which accounted for nearly half of attacks in Q3 2021, according to one estimate. 

En résumé, si votre organisation parvient à mieux stopper les attaques de ransomware via RDP, elle a de grandes chances de minimiser les cyberrisques dans leur ensemble.

La bonne nouvelle, c'est qu'Illumio offre une visibilité et un contrôle là où les organisations en ont le plus besoin : pour comprendre où elles sont le plus exposées, puis pour déployer une politique à l'échelle afin de restreindre les communications RDP.

Qu'est-ce que RDP ?

RDP est un protocole Microsoft qui permet aux utilisateurs d'ordinateurs de se connecter à distance à des PC et à des serveurs. Il fonctionne sur tous les serveurs Windows - une omniprésence qui en fait également une cible de choix pour les attaques.

RDP attacks surged during the pandemic when home workers' use of remote access solutions also soared. According to one study, the volume of devices exposing RDP to the public internet on standard ports jumped by over 40 percent in a single month.

Comment le RDP est-il utilisé de manière abusive ?

Plusieurs facteurs expliquent le succès des attaques par ransomware RDP.

De nombreuses organisations n'ont qu'une faible visibilité sur leur infrastructure de réseau informatique. Cela signifie qu'ils peuvent ne pas savoir combien de chemins RDP sont ouverts. Les attaques tirent également parti des problèmes courants de sécurité des entreprises, notamment la gestion efficace des correctifs et des mots de passe.

Voici comment cela fonctionne :

1. Un attaquant recherchera des serveurs Windows avec des adresses IP publiques et un port 3389 ouvert (couramment utilisé pour RDP).
2. Une fois ceux-ci localisés, l'acteur de la menace cherchera à compromettre les serveurs exposés par le biais de :
3. Exploiter les vulnérabilités de Microsoft qui pourraient leur permettre de contourner l'authentification RDP ou d'exécuter directement des logiciels malveillants par le biais d'une connexion.
4. Brute force RDP accounts protected only with weak credentials. Sometimes these automated password guessing attempts will be carried out over a number of days to avoid raising the alarm.
7. Once initial access has been achieved, the attacker could use RDP or other techniques to move laterally to other assets and data. Eventually, it will have built a large enough foothold in the victim’s network to deploy widespread ransomware and/or steal sensitive data for extortion.

Stopper les attaques de ransomware par RDP

Pour prévenir les attaques de ransomware RDP, il faut notamment s'assurer que les systèmes sont protégés par des correctifs à jour et activer l'authentification multifactorielle pour limiter les tentatives de piratage de mot de passe.

Mais plus fondamentalement, il s'agit d'abord de comprendre où le protocole RDP est utilisé dans votre organisation et où vous pouvez couper les connexions sans avoir d'impact sur les processus d'entreprise ou la productivité. Le blocage du port 3389 sur ces serveurs fera l'affaire.

La réduction de la surface d'attaque de cette manière peut contribuer à minimiser le nombre de points d'intrusion potentiels. Elle réduira également la possibilité pour les attaquants d'utiliser RDP pour se déplacer dans un réseau. Il ne reste donc plus qu'un petit nombre de serveurs à surveiller et à sécuriser à l'aide de politiques d'authentification fondées sur les meilleures pratiques.

Comment Illumio peut vous aider

Illumio est déjà utilisé par certaines des organisations les plus importantes et les plus exigeantes du monde pour atténuer la menace des ransomwares - y compris plus de 10 pour cent des entreprises du Fortune 100. Nous vous offrons la visibilité granulaire dont vous avez besoin pour comprendre où se produit la communication RDP et le contrôle nécessaire pour la bloquer si nécessaire.

L'approche simple en trois étapes d'Illumio pour minimiser le risque de ransomware RDP est la suivante :

1. Cartographier tous les serveurs et connexions RDP
2. Identifier les communications essentielles et non essentielles de la PDS
3. Prenez des mesures grâce à un déploiement simple et rapide de politiques visant à restreindre les communications non essentielles à grande échelle.

To read more best practice advice on mitigating ransomware risk and how Illumio can help to block threats, check out our new ebook, How to Stop Ransomware Attacks.