GreyNoise detecta botnet IP de 100 mil atacando serviços RDP

Uma campanha em grande escala tem como alvo os serviços Remote Desktop Protocol (RDP) nos Estados Unidos, utilizando uma botnet com mais de 100.000 endereços IP. A atividade começou em 8 de outubro, e os pesquisadores da plataforma de monitoramento de ameaças GreyNoise acreditam que os ataques se originam de uma botnet multinacional. RDP é um protocolo de rede que permite conexão e controle remoto de sistemas Windows, comumente usado por administradores de sistema, equipe de suporte técnico e funcionários remotos. Os invasores frequentemente procuram portas RDP abertas para realizar logins de força bruta, explorar vulnerabilidades ou realizar outros ataques. Os pesquisadores da GreyNoise identificaram que o botnet emprega dois métodos específicos de ataque relacionados ao RDP. O primeiro é um ataque de temporização do RD Web Access, em que o botnet investiga os terminais e mede as diferenças nos tempos de resposta do servidor durante a autenticação anônima para inferir nomes de usuários válidos. O segundo método é uma enumeração de login do cliente web RDP, que interage com o processo de login para identificar contas de usuário, observando diferentes comportamentos e respostas do servidor. A campanha foi detectada pela primeira vez após um aumento incomum no tráfego originado no Brasil. Posteriormente, surgiram atividades de outros países, incluindo Argentina, Irã, China, México, Rússia, África do Sul e Equador. Segundo a GreyNoise, os dispositivos comprometidos que formam a botnet estão localizados em mais de 100 países. Uma análise técnica revelou que quase todos os endereços IP atacantes compartilham uma impressão digital TCP comum. Acredita-se que pequenas variações no tamanho máximo do segmento sejam causadas por diferentes clusters dentro da botnet. Para mitigar essa ameaça, a GreyNoise recomenda que os administradores de sistema bloqueiem os endereços IP de ataque identificados e revisem os logs do sistema em busca de sinais de investigação RDP suspeita. Como prática recomendada de segurança, as organizações são aconselhadas a não expor os serviços RDP diretamente à Internet pública. A implementação de uma rede privada virtual (VPN) e a exigência de autenticação multifator (MFA) podem fornecer camadas adicionais de proteção contra tais ataques.

Source: GreyNoise detecta botnet IP de 100 mil atacando serviços RDP

GreyNoise detecta botnet IP de 100 mil atacando serviços RDP

Related Stories

Blue Origin e NASA entram em conflito sobre o cronograma de reparo da plataforma de lançamento de New Glenn

Asus apresenta novos laptops Zenbook e ExpertBook na Computex

Pixel Watch 5 não anunciado supostamente encontrado por mergulhador no Mar do Caribe

Spotify pode permitir que usuários editem nomes de usuários e adicionem biografias de perfis