Zakrojona na szeroką skalę kampania skierowana jest do usług protokołu Remote Desktop Protocol (RDP) w Stanach Zjednoczonych i wykorzystuje botnet obejmujący ponad 100 000 adresów IP. Akcja rozpoczęła się 8 października, a badacze platformy monitorowania zagrożeń GreyNoise uważają, że ataki pochodzą z botnetu obejmującego wiele krajów. RDP to protokół sieciowy umożliwiający zdalne łączenie się i kontrolowanie systemów Windows, powszechnie używany przez administratorów systemów, personel pomocy technicznej i pracowników zdalnych. Osoby atakujące często skanują w poszukiwaniu otwartych portów RDP, aby przeprowadzić logowanie metodą brute-force, wykorzystać luki w zabezpieczeniach lub przeprowadzić inne ataki. Badacze GreyNoise ustalili, że botnet wykorzystuje dwie specyficzne metody ataku związane z protokołem RDP. Pierwszy to atak czasowy usługi RD Web Access, podczas którego botnet sonduje punkty końcowe i mierzy różnice w czasach odpowiedzi serwera podczas anonimowego uwierzytelniania, aby wywnioskować prawidłowe nazwy użytkowników. Drugą metodą jest wyliczenie loginów klienta sieciowego RDP, które wchodzi w interakcję z procesem logowania w celu identyfikacji kont użytkowników poprzez obserwację różnych zachowań i odpowiedzi serwera. Kampanię wykryto po raz pierwszy po nietypowym wzroście ruchu pochodzącego z Brazylii. Następnie aktywność pojawiła się w innych krajach, w tym w Argentynie, Iranie, Chinach, Meksyku, Rosji, Republice Południowej Afryki i Ekwadorze. Według GreyNoise zaatakowane urządzenia tworzące botnet znajdują się w ponad 100 krajach. Analiza techniczna wykazała, że prawie wszystkie atakujące adresy IP mają wspólny odcisk palca TCP. Uważa się, że niewielkie różnice w maksymalnym rozmiarze segmentu są spowodowane różnymi klastrami w botnecie. Aby złagodzić to zagrożenie, GreyNoise zaleca, aby administratorzy systemu blokowali zidentyfikowane atakujące adresy IP i przeglądali dzienniki systemowe pod kątem oznak podejrzanego sondowania RDP. Ze względu na najlepszą praktykę w zakresie bezpieczeństwa zaleca się, aby organizacje nie udostępniały usług PROW bezpośrednio w publicznym Internecie. Wdrożenie wirtualnej sieci prywatnej (VPN) i wymaganie uwierzytelniania wieloskładnikowego (MFA) może zapewnić dodatkowe warstwy ochrony przed takimi atakami.
Source: GreyNoise wykrywa botnet 100 tys. IP atakujący usługi RDP
