Le prix des connexions à distance volées baisse sur le Dark Web à mesure que l'offre augmente
Les principes simples de l'offre et de la demande sont également valables en ce qui concerne les marchés du Web sombre minables, semble-t-il. Les chercheurs en sécurité ont découvert que le prix des connexions RDP (Remote Desktop Protocol) volées grimpe sur les forums Web sombres alors que l'offre commence lentement à dépasser la demande.
Les pirates utilisent des comptes RDP volés, piratés ou autrement compromis et les informations de connexion accèdent aux réseaux de l'entreprise via RDP. Cependant, il semble que tant de mots de passe et de connexions RDP soient divulgués et mis en vente sur le Web sombre que leur prix diminue lentement.
Cette augmentation a beaucoup de sens. À l'heure actuelle, il y a plus de personnes travaillant à domicile et accédant aux serveurs de l'entreprise, aux applications cloud et aux ressources distantes que jamais auparavant. Le changement des pratiques de travail provoqué par Covid-19 a donné aux mauvais acteurs de nombreuses opportunités de hameçonner et de voler de nombreuses informations de connexion à distance .
Les chercheurs ont croisé plus d'une douzaine de forums et de marchés différents sur le Web sombre. Leurs résultats ont montré une baisse d'environ 20% du prix pour un seul ensemble d'identifiants de connexion RDP. Curieusement, le rapport indique également que certains des identifiants ont été étiquetés comme "non piratés", ce qui implique qu'ils n'avaient jamais été utilisés dans le passé.
La baisse du prix des connexions RDP ne signifie pas seulement une sursaturation du marché, cela signifie également que le prix d'entrée a été considérablement réduit et qu'un plus grand nombre de mauvais acteurs pourraient acheter davantage de connexions piratées. Cela pourrait bien sûr conduire à un plus grand nombre d'attaques malavisées et maladroites et discrètes, mais c'est généralement une mauvaise nouvelle.
De nombreuses mauvaises pratiques de sécurité persistent
La raison pour laquelle beaucoup de ces connexions sont si faciles à déchiffrer est que les mauvaises pratiques telles que l'utilisation de «administrateur» ou «utilisateur» comme nom d'utilisateur persistent. Une fois que les connexions ont été compromises, les acteurs de la menace pourraient les utiliser à diverses fins, allant de l'infiltration silencieuse d'un réseau et du vol de données au fil du temps, à la préparation du réseau à une attaque de ransomware à grande échelle.
Aucun réseau n'est complètement sécurisé, mais il y a des choses qui peuvent être faites avec la sécurité par mot de passe qui peuvent aider à rendre la violation plus difficile. Les informations d'identification par défaut pour tout appareil ou compte sont en quelque sorte toujours une chose en 2020 et doivent être évitées à tout prix. Expliquer aux employés comment créer des mots de passe forts, suffisamment longs et complexes ou simplement en générer un pour eux est un autre moyen de réduire les risques d'attaques par force brute de mot de passe.
Enfin, l'ajout d'une sorte d'authentification multifacteur est probablement la meilleure ligne de défense contre le vol potentiel des informations de connexion.