Крупномасштабная кампания нацелена на службы протокола удаленного рабочего стола (RDP) в США и использует ботнет, насчитывающий более 100 000 IP-адресов. Активность началась 8 октября, и исследователи платформы мониторинга угроз GreyNoise полагают, что атаки исходят от ботнета, охватывающего несколько стран. RDP — это сетевой протокол, который позволяет удаленно подключаться и управлять системами Windows, обычно используемый системными администраторами, сотрудниками службы поддержки и удаленными сотрудниками. Злоумышленники часто сканируют открытые порты RDP для выполнения грубого входа в систему, использования уязвимостей или выполнения других атак. Исследователи GreyNoise установили, что ботнет использует два конкретных метода атаки, связанных с RDP. Первый — это временная атака веб-доступа к удаленным рабочим столам, при которой ботнет исследует конечные точки и измеряет разницу во времени ответа сервера во время анонимной аутентификации, чтобы определить действительные имена пользователей. Второй метод — это перечисление входа в веб-клиент RDP, которое взаимодействует с процессом входа в систему для идентификации учетных записей пользователей путем наблюдения за различным поведением и ответами сервера. Кампания была впервые обнаружена после необычного всплеска трафика из Бразилии. Впоследствии активность проявилась в других странах, включая Аргентину, Иран, Китай, Мексику, Россию, Южную Африку и Эквадор. По данным GreyNoise, взломанные устройства, составляющие ботнет, расположены более чем в 100 странах. Технический анализ показал, что почти все атакующие IP-адреса имеют общий TCP-отпечаток. Считается, что незначительные различия в максимальном размере сегмента вызваны разными кластерами внутри ботнета. Чтобы снизить эту угрозу, GreyNoise рекомендует системным администраторам заблокировать идентифицированные атакующие IP-адреса и просмотреть системные журналы на наличие признаков подозрительного зондирования RDP. В качестве передового опыта в области безопасности организациям рекомендуется не предоставлять услуги RDP непосредственно общедоступному Интернету. Внедрение виртуальной частной сети (VPN) и требование многофакторной аутентификации (MFA) могут обеспечить дополнительные уровни защиты от таких атак.
Source: GreyNoise обнаружил 100 тысяч IP-ботнетов, атакующих RDP-сервисы
