Koordinerade RDP-skanningar riktar sig mot Microsoft-servrar

Koordinerade RDP-skanningar riktar sig mot Microsoft-servrar

Koordinerade RDP-skanningar riktar sig mot Microsofts autentiseringsservrar i vad experter kallar en oroande kampanj. GreyNoise observerade nästan 2 000 IP-adresser som sonderade Microsoft Remote Desktop Web Access-portaler på en dag – långt över det dagliga genomsnittet. Bara några dagar senare steg antalet till över 30 000 unika IP-adresser, vilket signalerar en allvarlig kartläggningsinsats.

Timing-baserad enumerering

Skanningarna utnyttjar tidsmässiga skillnader i serverns svar. Genom att mäta fördröjningar kan angripare avgöra om ett användarnamn existerar utan att behöva bruteforce-metoder. Denna teknik gör det möjligt att snabbt samla in giltiga användarnamn, vilket gör senare attacker betydligt effektivare.

Eskalering över hela världen

GreyNoise bekräftade att 92 % av de inblandade IP-adresserna hade samma klientfingeravtryck. De flesta kom från Brasilien men riktades mot servrar i USA. Skalan och enhetligheten tyder på ett centraliserat botnät eller en organiserad grupp bakom aktiviteten.

Varför utbildningssektorn är i riskzonen

Toppnivån började runt den 21 augusti, vilket sammanföll med skolstarten i USA. Skolor och universitet förlitar sig ofta på RDP-miljöer för labb och fjärråtkomst. De använder dessutom förutsägbara användarnamn som student-ID eller e-postformat. Denna förutsägbarhet gör dem till attraktiva mål för angripare.

Potentiella framtida hot

Historien visar att vågor av skanningar ofta föregår aktiv exploatering. När användarnamn har identifierats kan angripare lansera bruteforce-attacker, lösenordsspraying eller till och med ransomwarekampanjer. Den plötsliga ökningen från 2 000 till 30 000 IP-adresser indikerar förberedelser för större attacker.

Försvarsstrategier

Organisationer kan vidta flera åtgärder för att minska exponeringen:

  • Inför multifaktorautentisering (MFA) på alla RDP-inloggningar.
  • Begränsa RDP-åtkomst bakom VPN eller brandväggar.
  • Övervaka loggar efter upprepade skanningsmönster.
  • Minska offentlig exponering av RDP-tjänster.
  • Använd starkare och mindre förutsägbara användarnamn.

Slutsats

Ökningen av koordinerade RDP-skanningar mot Microsoft-servrar är en tydlig varning. Med över 30 000 IP-adresser inblandade visar kampanjen hur snabbt kartläggning kan eskalera. Organisationer – särskilt inom utbildningssektorn – bör agera nu genom att införa MFA, begränsa RDP-åtkomst och övervaka ovanlig aktivitet. Att vara proaktiv är det bästa försvaret mot vad som kan komma härnäst.

Siyana Georgieva

0 svar till ”Koordinerade RDP-skanningar riktar sig mot Microsoft-servrar”