Una extensa red de bots está atacando servicios de Protocolo de Escritorio Remoto (RDP) en Estados Unidos desde más de 100.000 direcciones IP.
La campaña comenzó el 8 de octubre y, según el origen de las direcciones IP, los investigadores creen que los ataques son lanzados por una red de bots multinacional.
RDP es un protocolo de red que permite la conexión y el control remotos de sistemas Windows. Generalmente lo utilizan administradores, personal de soporte técnico y trabajadores remotos.
Los atacantes suelen buscar puertos RDP abiertos o intentar ataques de fuerza bruta, explotar vulnerabilidades o realizar ataques de temporización. En este caso, investigadores de la plataforma de monitoreo de amenazas GreyNoise descubrieron que la botnet se basa en dos tipos de ataques relacionados con RDP:
- Ataques de temporización de RD Web Access: Analiza los endpoints de RD Web Access y mide las diferencias en el tiempo de respuesta durante los flujos de autenticación anónima para inferir nombres de usuario válidos.
- Enumeración de inicios de sesión del cliente web RDP: Interactúa con el flujo de inicio de sesión del cliente web RDP para enumerar cuentas de usuario observando las diferencias en el comportamiento y las respuestas del servidor.
GreyNoise detectó la campaña tras un pico de tráfico inusual desde Brasil, seguido de actividad similar en una región geográfica más amplia, que incluye Argentina, Irán, China, México, Rusia, Sudáfrica y Ecuador.
La empresa afirma que la lista completa de países con dispositivos comprometidos en la botnet supera los 100.
Casi todas las direcciones IP comparten una huella digital TCP común, y aunque existen variaciones en el tamaño máximo de segmento (MSS), los investigadores creen que se deben a los clústeres que forman la botnet.
Para protegerse de esta actividad, se recomienda a los administradores de sistemas bloquear las direcciones IP que lanzan los ataques y revisar los registros en busca de sondeos RDP sospechosos.
Como recomendación general, no se debe exponer una conexión de escritorio remoto a internet y añadir una VPN y la autenticación multifactor (MFA) proporciona una capa adicional de protección.