In una scoperta significativa, i ricercatori hanno identificato un enorme attacco sincronizzato al Remote Desktop Protocol (RDP) attraverso più di 30.000 indirizzi IP potenzialmente dannosi.
Un'ondata di attacchi mirati al protocollo di desktop remoto di Microsoft (RDP) è stata identificata dalla società di intelligence sulla sicurezza GreyNoise, con gli Stati Uniti come principale obiettivo. Gli attacchi, che coincidono con il periodo di ritorno a scuola negli Stati Uniti, sono stati osservati utilizzando una firma del client associata a un aumento di attacchi simili.
La fase di preparazione dell'attacco comporta la scoperta dei punti terminali e il test delle falle. Gli attaccanti stanno utilizzando un approccio di attacco temporale per trovare account validi sui portali RDP esposti e stanno anche utilizzando le differenze di temporizzazione dell'autenticazione per scoprire nomi utente validi.
La frequenza di scanning dei punti terminali RDP è generalmente bassa, ma il 21 agosto il numero è salito a 1.971 IP. In quella stessa giornata, quasi 2.000 indirizzi IP hanno sondato simultaneamente both Microsoft RD Web Access e Microsoft RDP Web Client authentication portals. L'attività è cresciuta ancora di più il 24 agosto, con oltre 30.000 indirizzi IP che hanno scatenato entrambi i tag simultaneamente.
La maggior parte degli indirizzi IP coinvolti nell'ondata era già classificata come dannosa, con il 92% di essi provenienti dal Brasile. L'ondata improvvisa ha mostrato una sovrapposizione del 100% tra i portali RDP Web Access e RDP Web Client, con 1.851 IP che condividono la stessa firma del client.
I cybercriminali mirano a identificare i servizi RDP vulnerabili per ottenere l'accesso non autorizzato, eseguire la ricognizione e potenzialmente deploy ransomware o altri carichi dannosi. Gli attaccanti stanno costruendo elenchi di utenti validi, che possono essere utilizzati per il stuffing delle credenziali, lo spraying delle password, gli attacchi di forza bruta e l'esploit futuro. Se viene trovata una nuova CVE legata a RDP, gli attaccanti potrebbero sfruttarla utilizzando gli elenchi di utenti validi che hanno costruito.
Per rimanere al sicuro, le organizzazioni sono consigliate a migliorare i flussi di autenticazione, bloccare gli IP dannosi, monitorare l'attività successiva, ridurre la dipendenza dall'esposizione RDP diretta e considerare l'utilizzo di VPN. I ricercatori hanno segnalato l'ondata in un post sul blog.
Questo incidente serve come promemoria per tutte le organizzazioni di essere vigili e proactive nella sicurezza dei loro servizi RDP. Prendendo i passaggi necessari per proteggere i loro sistemi, possono aiutare a prevenire di diventare vittime di questi tipi di attacchi.
%20attraverso%20pi%C3%B9%20di%2030.000%20indirizzi%20IP%20potenzialmente%20dannosi.){kind=link}