Migliaia di protocolli Internet dannosi colpiscono il protocollo desktop remoto in massa, secondo gli esperti
Un aumento significativo delle attività di scansione maliziose che mirano al protocollo Microsoft Remote Desktop (RDP) è stato identificato, con oltre 30.000 indirizzi IP unici coinvolti nella campagna. Secondo la società di intelligence sulla sicurezza GreyNoise, la maggior parte dei IP maliziosi proveniva dal Brasile, circa il 73%.
Tuttavia, il principale obiettivo di questi attacchi è stato gli Stati Uniti. La crescita delle attività di scansione RDP è stata osservata per la prima volta il 21 agosto, con quasi 2.000 IP che sondavano sia i portali di autenticazione Microsoft RD Web Access che Microsoft RDP Web Client. L'attività è diventata ancora più grande il 24 agosto, con oltre 30.000 IP che hanno attivato entrambi i tag contemporaneamente.
La campagna è progettata per scoprire account validi sui portali RDP esposti attraverso la scoperta dei punti terminali e il test delle falle. Attaccando gli endpoint Microsoft Remote Desktop, gli attaccanti mappano specificamente l'ambiente di rete, identificano i sistemi accessibili e le loro configurazioni e scoprono le credenziali esposte o le debolezze per facilitare l'accesso remoto non autorizzato e il movimento laterale all'interno dell'infrastruttura di destinazione.
La fase di preparazione dell'attacco consente agli attaccanti di creare elenchi di utenti validi per il stuffing delle credenziali, lo spraying delle password, gli attacchi forza bruta e l'esploit futuro. L'attività di scansione è un vettore di attacco chiave utilizzato per accedere alle reti, che spesso funge da punto di ingresso per campagne di ransomware, furto di dati ed espionage.
L'ondata improvvisa ha mostrato un sovrapposizione del 100% tra le sonde RDP Web Access e RDP Web Client, con 1.851 IP che condividono la stessa firma del client. Questa campagna coordinata di attività di scansione è stata identificata da GreyNoise, con la stessa firma del client su servizi Microsoft RD Web Access e Microsoft RDP Web Client.
Per rimanere al sicuro, le organizzazioni dovrebbero migliorare i flussi di autenticazione, bloccare gli IP maliziosi, monitorare le attività successive, ridurre l'esposizione RDP e considerare l'uso di VPN. È fondamentale che le aziende siano vigili e proactive nella tutela delle loro reti, soprattutto durante i periodi di attività aumentata come la stagione scolastica degli Stati Uniti, in cui la crescita delle attività di scansione RDP coincide.
La frequenza della scansione dei punti terminali Microsoft RDP è solitamente bassa, ma il 21 agosto da sola ha visto un aumento a 1.971 IP. La maggior parte degli IP coinvolti nell'aumento (92%) era già classificata come maliziose. L'attività di scansione è sospettata di essere opera di un singolo botnet o kit di strumenti di scansione.
Date queste circostanze, è essenziale che le organizzazioni diano priorità alle misure di cybersecurity e rimangano informate sui potenziali pericoli per i loro sistemi. Prendendo provvedimenti proattivi per
