Uma campanha de ataques conduzida por um botnet de grande escala está mudando serviços Remote Desktop Protocol (RDP) nos Estados Unidos, utilizando mais de 100 mil endereços IP. Iniciada em 8 de outubro, uma ofensiva é atribuída a uma botnet distribuída por vários países, conforme análise dos endereços envolvidos.
Leia também
Quadrilha enriquecedora com deepfakes de famosos em golpe ‘pague só o frete’
Sob aumenta a proteção dos dados da IA Corporativa
O RDP é um protocolo de rede usado para conexão e controle remoto de sistemas Windows, comumente utilizado por administradores, equipes de suporte e profissionais em trabalho remoto. Os incidentes utilizam técnicas como varredura de portas, esforço de força bruta e exploração de vulnerabilidades para comprometer esses serviços.
De acordo com pesquisadores da plataforma GreyNoise, a rede de bots emprega dois métodos principais de ataque: sondagens em RD Web Access para inferir usuários válidos baseando-se em diferenças no tempo de resposta e enumeração de contas por meio da análise do comportamento do servidor durante o fluxo de autenticação no cliente web do RDP.
Uma atividade maliciosa foi detectada inicialmente após um aumento no tráfego vindo do Brasil, logo seguido por tráfego semelhante a regiões como Argentina, Irã, China, México, Rússia, África do Sul e Equador. A lista completa de países afetados pela botnet ultrapassa cem.
Como medida de defesa, os administradores de sistemas devem bloquear os endereços IP usados nos ataques e revisar os logs em busca de sondagens suspeitas ao RDP. Recomenda-se ainda não exportar o serviço de desktop remoto para internet, além de implementar redes privadas virtuais (VPN) e autenticação multifator.
