Uma botnet em grande escala está direcionando ataques aos serviços de Remote Desktop Protocol (RDP) nos Estados Unidos, partindo de mais de 100 mil endereços IP distintos.
A campanha teve início em 8 de outubro e, com base na análise da origem dos IPs, pesquisadores acreditam que os ataques são orquestrados por uma botnet multinacional.
O RDP é um protocolo de rede que permite a conexão e o controle remoto de sistemas Windows.
É comumente utilizado por administradores, equipes de suporte técnico e trabalhadores remotos.
Os invasores costumam escanear portas RDP abertas, realizar ataques de força bruta nos logins, explorar vulnerabilidades conhecidas ou promover ataques baseados em timing.
Neste caso, pesquisadores da plataforma de monitoramento GreyNoise identificaram que a botnet emprega dois tipos de ataques relacionados ao RDP:
- Ataques de timing no RD Web Access: sondam endpoints do RD Web Access e medem diferenças no tempo de resposta durante fluxos de autenticação anônima para identificar nomes de usuários válidos.
- Enumeração de login no cliente web RDP: interagem com o fluxo de login do RDP Web Client para enumerar contas de usuário, observando variações no comportamento e nas respostas do servidor.
A GreyNoise detectou a campanha após um pico incomum de tráfego proveniente do Brasil, seguido por atividades semelhantes em uma área geográfica mais ampla, que inclui Argentina, Irã, China, México, Rússia, África do Sul e Equador.
Segundo a empresa, o número total de países com dispositivos comprometidos na botnet ultrapassa 100.
Quase todos os endereços IP apresentam a mesma assinatura TCP e, embora existam variações no Maximum Segment Size (MSS), os pesquisadores atribuem isso à diversidade dos clusters que formam a botnet.
Para se proteger contra esses ataques, administradores de sistemas devem bloquear os endereços IP associados às tentativas maliciosas e revisar os logs em busca de sondagens suspeitas no RDP.
Como recomendação geral, conexões de desktop remoto não devem ficar expostas diretamente à internet pública.
O uso de VPN e autenticação multifator (MFA) são camadas adicionais essenciais para aumentar a segurança.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...