Una campagna su larga scala prende di mira i servizi RDP (Remote Desktop Protocol) negli Stati Uniti, utilizzando una botnet di oltre 100.000 indirizzi IP. L’attività è iniziata l’8 ottobre e i ricercatori della piattaforma di monitoraggio delle minacce GreyNoise ritengono che gli attacchi provengano da una botnet multinazionale.

RDP è un protocollo di rete che consente la connessione e il controllo remoti dei sistemi Windows, comunemente utilizzato dagli amministratori di sistema, dal personale dell’helpdesk e dai dipendenti remoti. Gli aggressori cercano spesso porte RDP aperte per effettuare accessi di forza bruta, sfruttare vulnerabilità o eseguire altri attacchi.

I ricercatori di GreyNoise hanno identificato che la botnet utilizza due metodi di attacco specifici legati all’RDP. Il primo è un attacco temporale di Accesso Web Desktop remoto, in cui la botnet sonda gli endpoint e misura le differenze nei tempi di risposta del server durante l’autenticazione anonima per dedurre nomi utente validi. Il secondo metodo è un’enumerazione degli accessi del client Web RDP, che interagisce con il processo di accesso per identificare gli account utente osservando comportamenti e risposte diversi del server.

You Might Also Like
Google interromperà Google Tables nel dicembre 2025
Google interromperà Google Tables nel dicembre 2025
Bosch presenta la piattaforma di estensione AI e il cruscotto basato sull’intelligenza artificiale al CES 2026
Bosch presenta la piattaforma di estensione AI e il cruscotto basato sull’intelligenza artificiale al CES 2026
OpenAI limita l’uso di Martin Luther King Jr. nel suo modello video Sora
OpenAI limita l’uso di Martin Luther King Jr. nel suo modello video Sora

La campagna è stata rilevata per la prima volta a seguito di un insolito picco di traffico proveniente dal Brasile. Successivamente sono emerse attività da altri paesi, tra cui Argentina, Iran, Cina, Messico, Russia, Sud Africa ed Ecuador. Secondo GreyNoise, i dispositivi compromessi che compongono la botnet si trovano in più di 100 paesi.

Un’analisi tecnica ha rivelato che quasi tutti gli indirizzi IP attaccanti condividono un’impronta digitale TCP comune. Si ritiene che variazioni minori nella dimensione massima del segmento siano causate da diversi cluster all’interno della botnet. Per mitigare questa minaccia, GreyNoise consiglia agli amministratori di sistema di bloccare gli indirizzi IP di attacco identificati e di esaminare i registri di sistema per individuare eventuali segnali di sondaggi RDP sospetti.

Come migliore pratica di sicurezza, si consiglia alle organizzazioni di non esporre i servizi RDP direttamente all’Internet pubblica. L’implementazione di una rete privata virtuale (VPN) e la richiesta di autenticazione a più fattori (MFA) possono fornire ulteriori livelli di protezione contro tali attacchi.