Een grootschalige campagne richt zich op Remote Desktop Protocol (RDP)-diensten in de Verenigde Staten, waarbij gebruik wordt gemaakt van een botnet van meer dan 100.000 IP-adressen. De activiteit begon op 8 oktober en onderzoekers van het dreigingsmonitoringplatform GreyNoise denken dat de aanvallen afkomstig zijn van een botnet dat uit meerdere landen bestaat.

RDP is een netwerkprotocol dat externe verbinding en controle van Windows-systemen mogelijk maakt, dat vaak wordt gebruikt door systeembeheerders, helpdeskpersoneel en externe medewerkers. Aanvallers scannen regelmatig naar open RDP-poorten om met brute kracht in te loggen, kwetsbaarheden te misbruiken of andere aanvallen uit te voeren.

GreyNoise-onderzoekers hebben vastgesteld dat het botnet twee specifieke RDP-gerelateerde aanvalsmethoden gebruikt. De eerste is een timingaanval op RD Web Access, waarbij het botnet eindpunten onderzoekt en verschillen in serverresponstijden meet tijdens anonieme authenticatie om geldige gebruikersnamen af ​​te leiden. De tweede methode is een RDP-webclient-inlogopsomming, die samenwerkt met het inlogproces om gebruikersaccounts te identificeren door verschillend servergedrag en -reacties te observeren.

You Might Also Like
Sony ZV-1: Details gelekt voor de compactcamera voor vloggers
Sony ZV-1: Details gelekt voor de compactcamera voor vloggers
Hoe gebruik je een 3D-filter in Disney-tekenfilmstijl op Instagram?
Hoe gebruik je een 3D-filter in Disney-tekenfilmstijl op Instagram?
RTX 30 Mobility komt in 2021 aan: Dit zijn de mogelijke specificaties
RTX 30 Mobility komt in 2021 aan: Dit zijn de mogelijke specificaties

De campagne werd voor het eerst ontdekt na een ongebruikelijke piek in verkeer afkomstig uit Brazilië. Vervolgens ontstond er activiteit uit andere landen, waaronder Argentinië, Iran, China, Mexico, Rusland, Zuid-Afrika en Ecuador. Volgens GreyNoise bevinden de besmette apparaten die het botnet vormen zich in meer dan 100 landen.

  Outriders onthult de minimale, aanbevolen en ultra-systeemvereisten voor pc

Uit een technische analyse bleek dat bijna alle aanvallende IP-adressen een gemeenschappelijke TCP-vingerafdruk delen. Aangenomen wordt dat kleine variaties in de maximale segmentgrootte worden veroorzaakt door verschillende clusters binnen het botnet. Om deze dreiging te beperken raadt GreyNoise aan dat systeembeheerders de geïdentificeerde aanvallende IP-adressen blokkeren en systeemlogboeken controleren op tekenen van verdachte RDP-onderzoek.

Als best practice op het gebied van beveiliging wordt organisaties geadviseerd om RDP-diensten niet rechtstreeks aan het openbare internet bloot te stellen. Het implementeren van een Virtual Private Network (VPN) en het vereisen van multi-factor authenticatie (MFA) kan extra beschermingslagen bieden tegen dergelijke aanvallen.