Secondo gli esperti, migliaia di indirizzi di protocolli Internet dannosi sono stati indirizzati a protocolli desktop remoti in un attacco informatico su larga scala
In una recente evoluzione, una campagna coordinata che mira al protocollo Remote Desktop (RDP) di Microsoft è stata identificata dalla società di sicurezza GreyNoise. Più di 30.000 indirizzi IP unici sono stati coinvolti negli attacchi, che hanno raggiunto il culmine il 24 agosto 2021.
Si sospetta che gli attacchi siano opera di un unico botnet o kit di scansione e sono stati utilizzati come principale vettore di attacco per accedere alle reti. Spesso servono come punto di ingresso per campagne di riscatto, furto di dati ed espionage.
L'aumento degli attacchi RDP coincide con il periodo di ritorno a scuola negli Stati Uniti, suscitando preoccupazioni per l'impatto potenziale sugli istituti educativi.
La fase di preparazione dell'attacco comporta la costruzione di elenchi di utenti validi, un processo che può supportare il stuffing delle credenziali, lo spraying delle password, gli attacchi di forza bruta e l'esploit futuro. La fase di scoperta del punto finale degli attacchi identifica gli IP esponendo RD Web Access o RD Web Client.
Durante la fase di test delle falle, gli attaccanti utilizzano le differenze di timing dell'autenticazione per scoprire i nomi utente validi. Una volta mappati gli account validi sui portali RDP esposti, vengono attaccati in attacchi successivi.
In modo interessante, la maggior parte degli indirizzi IP dannosi proveniva dal Brasile (~73%), con gli Stati Uniti come principale obiettivo degli attacchi. È degno di nota che la maggior parte degli indirizzi IP coinvolti nell'attacco era stata precedentemente classificata come dannosa (92%).
Gli attacchi sono stati osservati in vari sistemi autonomi, tra cui i sistemi autonomi ucraini FDN3 (AS211736), VAIZ-AS (AS61432) ed ERISHENNYA-ASN (AS210950), nonché il sistema autonomo delle Seychelles TK-NET (AS210848). Questo sistema autonomo scambia frequentemente i prefissi IPv4 per eludere i blacklist.
Per rimanere al sicuro, è fondamentale migliorare i flussi di autenticazione. Ciò include la disabilitazione dei flussi di accesso deboli, l'imposizione dell'autenticazione a più fattori, il blocco degli IP dannosi, il monitoraggio delle attività successive e la riduzione della dipendenza dall'esposizione RDP diretta, nonché la considerazione di soluzioni più sicure come le VPN.
L'ondata improvvisa ha mostrato un sovrapposizione del 100% tra le sonde RDP Web Access e RDP Web Client, con 1.851 IP che condividono la stessa firma del client. Solo il 21 agosto, il numero di nuovi IP è salito a 1.971, evidenziando la natura rapida e diffusa degli attacchi.
Mentre i motivi esatti dietro questi attacchi rimangono poco chiari, l'aumento degli attacchi RDP serve come promemoria per tutti di restare vigili e prendere le precauzioni necessarie per proteggere i propri asset digitali.
Leggi anche:
- Il programma di ricerca e sviluppo (PED) è stato realizzato in base a programmi di ricerca e sviluppo (PED) e di ricerca (PED) e di ricerca (PED).
- "TOH WEI SOONG: La vera prova sta nel superare i limiti personali e rimanere fedeli alle proprie abilita'".
- Capitale europea dell'imprenditorialità giovanile al Gen-E Festival 2025 ad Atene
- Tre donne anziane, affezionatamente chiamate nonne di Kaha Aden, costituiscono una parte significativa della comunità.
