Secondo l’Active Adversary Report di Sophos nel 2023 i cybercriminali hanno sfruttato il protocollo RDP (remote desktop protocol) nel 90% degli attacchi, la percentuale più alta mai registrata. Il report “It’s Oh So Quiet (?): The Sophos Active Adversary Report for 1H 2024” ha analizzato oltre 150 risposte a incidenti (IR) gestite dal team Sophos X-Ops nel 202.
Lo sfruttamento criminale del protocollo RDP
I servizi remoti esterni come RDP sono stati inoltre il vettore più comune attraverso il quale gli autori degli attacchi sono riusciti a violare le reti, rappresentando la via di accesso iniziale nel 65% dei casi IR del 2023. I servizi remoti esterni appaiono come il metodo di accesso iniziale più frequente fin dal primo report Active Adversary pubblicato. Chi si difende dovrebbe considerare questo dato come segno della necessità di prioritizzare la gestione di questi servizi nella valutazione dei rischi aziendali.
Non lasciare “porte aperte” ai criminali
John Shier, field Cto di Sophos
I servizi remoti esterni sono per molte aziende un requisito necessario ma rischioso. I cybercriminali conoscono bene i pericoli che questi servizi comportano e cercano attivamente di sfruttarli per riscuotere il premio che essi promettono. Tenere esposti dei servizi senza adeguate cautele e tecniche di mitigazione dei relativi rischi porta inevitabilmente a violazioni informatiche. Non serve molto tempo perché un attaccante riesca a trovare e violare un server RDP esposto. Senza controlli supplementari, nemmeno il server Active Directory che lo aspetta dall’altra parte”.
Il protocollo RDP
Nel caso di un cliente Sophos X-Ops, attaccato 4 volte in 6 mesi, i cybercriminali hanno ottenuto l’accesso in tutti i 4 casi grazie a porte RDP esposte. Una volta all’interno della rete gli autori dell’attacco hanno continuato a muoversi lateralmente. Scaricando così eseguibili pericolosi, disabilitando le protezioni degli endpoint e stabilendo le proprie capacità di accesso remoto.
Le principali cause di attacco
Credenziali compromesse e sfruttamento delle vulnerabilità sono ancora le due cause primarie di attacco più comuni. Tuttavia il report 2023 Active Adversary Report for Tech Leaders, aveva scoperto che nella prima metà del 2023 le credenziali compromesse avevano superato per la prima volta le vulnerabilità come principale causa primaria di attacco. Questa tendenza è proseguita nel resto dell’anno, quando le credenziali compromesse hanno rappresentato la causa primaria di oltre il 50% delle casistiche IR dell’intero anno.
Il ruolo dell’autenticazione multifattore
Guardando ai dati cumulativi raccolti dai report Active Adversary dal 2020 al 2023, le credenziali compromesse sono anche la principale causa primaria di attacchi di sempre. Infatti riguardano quasi un terzo di tutti i casi IR. Eppure, nonostante la prevalenza storica di questa tecnica, l’autenticazione multifattore ha continuato ad essere assente nel 43% delle casistiche IR del 2023. Sfruttare le vulnerabilità è stata la seconda causa primaria di attacchi sia nel 2023 che nel periodo cumulato dal 2020 al 2023, responsabile rispettivamente del 16% e 30% delle casistiche IR.
Lo sfruttamento criminale del protocollo RDP è in crescita
John Shier, field Cto di Sophos
La gestione del rischio è un processo attivo. Di fronte a cybercriminali determinati e alle loro costanti minacce, le aziende che la sanno fare bene si trovano in una situazione migliore rispetto a quelle che non ci riescono. Un importante aspetto della gestione dei rischi di sicurezza, oltre alla loro identificazione e prioritizzazione, riguarda la capacità di agire in base alle informazioni raccolte.Eppure, certi rischi come i servizi RDP aperti continuano da troppo tempo a rendere vulnerabili le aziende. Questo per la felicità degli autori degli attacchi che possono entrarci dalla porta principale. Proteggere la rete riducendo i servizi esposti e vulnerabili e rafforzando le tecniche di autenticazione aumenta la sicurezza complessiva. Inoltre consente di rispondere meglio ai cyberattacchi.