Koordinerede RDP-scanninger målretter Microsofts autentificeringsservere i det, eksperter beskriver som en bekymrende kampagne. GreyNoise observerede næsten 2.000 IP-adresser, der sonderede Microsoft Remote Desktop Web Access-portaler på én dag – langt over det daglige gennemsnit. Kun få dage senere steg antallet til over 30.000 unikke IP-adresser, hvilket signalerer en alvorlig rekognosceringsindsats.
Tidsbaseret enumerering
Scanningerne udnytter tidsforskelle i serverens svar. Ved at måle forsinkelser kan angribere afgøre, om et brugernavn eksisterer uden at benytte brute force-metoder. Denne teknik gør det muligt hurtigt at indsamle gyldige brugernavne, hvilket gør senere angreb langt mere effektive.
Eskalering på globalt plan
GreyNoise bekræftede, at 92 % af de involverede IP-adresser delte det samme klientfingeraftryk. De fleste stammede fra Brasilien, men var rettet mod servere i USA. Omfanget og ensartetheden antyder et centraliseret botnet eller en organiseret gruppe bag aktiviteten.
Hvorfor uddannelsessektoren er i risiko
Toppen begyndte omkring den 21. august, samtidig med skolestart i USA. Skoler og universiteter er ofte afhængige af RDP-miljøer til laboratorier og fjernadgang. De benytter desuden forudsigelige brugernavne som studienumre eller e-mailformater. Denne forudsigelighed gør dem til attraktive mål for angribere.
Potentielle fremtidige trusler
Historien viser, at bølger af scanninger ofte går forud for aktiv udnyttelse. Når brugernavne er identificeret, kan angribere iværksætte brute force-angreb, password spraying eller endda ransomwarekampagner. Den pludselige stigning fra 2.000 til 30.000 IP-adresser indikerer forberedelser til større angreb.
Forsvarsstrategier
Organisationer kan tage flere skridt for at reducere eksponeringen:
- Indfør multifaktorautentificering (MFA) på alle RDP-logins.
- Begræns RDP-adgang bag VPN’er eller firewalls.
- Overvåg logs for gentagne scanningsmønstre.
- Reducer offentlig eksponering af RDP-tjenester.
- Benyt stærkere og mindre forudsigelige brugernavne.
Konklusion
Stigningen i koordinerede RDP-scanninger mod Microsoft-servere er en tydelig advarsel. Med over 30.000 IP-adresser involveret viser kampagnen, hvor hurtigt rekognoscering kan eskalere. Organisationer – især inden for uddannelse – bør handle nu ved at indføre MFA, begrænse RDP-adgang og overvåge usædvanlig aktivitet. At være proaktiv er det bedste forsvar mod det, der måtte komme.
0 svar til “Koordinerede RDP-scanninger målretter Microsoft-servere”