Selon l’édition 2022 du rapport* sur les menaces pour les données de Carbonite-Webroot, les PME deviennent des cibles privilégiées pour les cybercriminels. C’est le protocole de bureau à distance (RDP) qui est le principal vecteur d’infection suivi par le phishing par e-mail.
Si l’étude observe une baisse de 58 % des logiciels malveillants par rapport à l’année précédente, s’expliquant principalement par le démantèlement de plusieurs groupes de cybercriminels tels qu’Emotet, Darkside et REvil par les autorités internationales ces derniers mois, les ransomwares restent la plus grande menace pour les petites et moyennes entreprises.
Ce rapport indique que 34,1 % des entreprises comptant de 21 à 100 terminaux protégés ont rencontré une infection en 2021 et 65,1 % pour les organisations comprenant de 101 à 500 terminaux protégés.
C’est le protocole de bureau à distance (RDP pour Remote Desktop Protocol), permettant d’utiliser un ordinateur de bureau à distance, qui est le principal vecteur d’infection (suivi par le phishing par e-mail).
On peut citer en exemple le ver Morto qui, selon le 2021 Global Threat Intelligence Report de NTT représentait 34 % de toutes les détections de logiciels malveillants dans le secteur manufacturier en 2020 dans le monde, ce qui en a fait le logiciel malveillant le plus détecté dans cette industrie. Morto se propage via les services de bureau à distance sur les serveurs Windows et utilise des méthodes de force brute pour accéder aux serveurs
Autre exemple, à la mi-janvier les chercheurs de CyberArk découvrait une vulnérabilité dans le protocole Windows Remote Desktop permettant à un attaquant d’exécuter une attaque « man-in-the-middle », pour afficher ou modifier les données du presse-papiers d’autres utilisateurs connectés, et accéder aux lecteurs ou dossiers de la victime. Voire usurper l’identité d’autres utilisateurs connectés aux machines utilisant des cartes à puce, qui sont couramment utilisées pour l’authentification au sein des gouvernements.
Pour renforcer la sécurité de l’administration à distance de systèmes Windows, l’ANSSI propose des recommandations que l’on peut trouver ici.
*Les données de renseignement sur les menaces présentées dans le rapport 2022 sur les menaces BrightCloud s’appuient la plateforme BrightCloud Threat Intelligence de Carbonite Webroot qui recueille des données en continu à partir de millions de terminaux.