Egyre durvul az RDP-s botnet

​Több mint 100 országból indulnak azok az összehangolt támadások, amelyek RDP-szolgáltatásokat vesznek célba.
 

A GreyNoise biztonsági cég szakértői az elmúlt napokban jelentős aktivitást tapasztaltak egy kiterjedt botnet kapcsán. Arra figyeltek fel, hogy a kártékony hálózatból egyre több olyan támadási kísérlet indul, amelyek kifejezetten RDP-kapcsolatokkal rendelkező rendszereket vesznek célba. 

A távoli asztali szolgáltatások ostromlása korántsem új keletű jelenség, hiszen ezek ellen is gyakorta indulnak brute force típusú vagy elosztott szolgáltatásmegtagadási (DDoS) támadások. Ezúttal a kiberbűnözők az RD Web Access és az RDP Web Client alapú bejelentkezési lehetőségeket jelölték ki támadási felületnek.

A GreyNoise szerint a szóban forgó alvilági akciók október 8-án vették kezdetüket, és elsősorban Egyesült Államokban működő rendszerekre kezdtek veszélyt jelenteni. A támadások forrása kezdetben Brazília volt, de mostanra már legalább 100 országból lehetett kimutatni támadási próbálkozásokat, amikhez több mint 100 ezer IP-cím kapcsolódott. Ez pedig azt jelenti, hogy egy globális kiterjedésű botnet áll a háttérben.

A biztonsági szakemberek a kockázatok csökkentése érdekében az RDP-kapcsolatok internet felőli, közvetlen elérhetőségének letiltását tanácsolják, és az RDP-zést csak VPN használatával javasolják. Emellett a kétfaktoros hitelesítés alkalmazása is megfontolandó ebben az esetben is.