Pesquisadores da empresa de segurança GreyNoise descobriram uma onda massiva de ataques originados de mais de 100.000 endereços IP em mais de 100 países. Os analistas acreditam que os ataques se originaram de uma única botnet de larga escala. De acordo com o relatório da pesquisa, os autores da campanha tiveram como alvo principal a infraestrutura RDP (Remote Desktop Protocol) dos Estados Unidos.
Leia também
Phishing ataca na Europa com arquivos RDP
Phishing contra WooCommerce atinge WordPress
De acordo com os especialistas da GryNoise, dois tipos específicos de ataque foram usados para identificar e comprometer sistemas vulneráveis. O primeiro é um ataque de temporização de acesso ao Web RD. Nesse método, os invasores medem o tempo de resposta do servidor às tentativas de login para determinar anonimamente nomes de usuários válidos e inválidos.
A segunda variante de ataque é uma enumeração de login do cliente web RDP. Este método tenta adivinhar sistematicamente as credenciais do usuário. Ambos os métodos permitem que um botnet busque com eficiência pontos de acesso RDP exploráveis sem disparar imediatamente alertas de segurança padrão.
Medidas de proteção
A GreyNoise recomenda que as organizações revisem proativamente seus logs de segurança em busca de acessos RDP descobertos ou tentativa de login mal sucedido. A empresa de segurança também criou um modelo de lista de bloqueio dinâmico chamado “microsoft-rdp-botnet-oct-25”, que está disponível em sua plataforma.
Isso permite que os usuários bloqueiem automaticamente todos os endereços IP conhecidos associados ao botnet, prevenindo ataques na borda da rede.
