Koordinerte RDP-skanninger retter seg mot Microsoft-servere

Koordinerte RDP-skanninger retter seg mot Microsoft-servere

Koordinerte RDP-skanninger retter seg mot Microsofts autentiseringsservere i det eksperter beskriver som en urovekkende kampanje. GreyNoise observerte nesten 2 000 IP-adresser som sonderte Microsoft Remote Desktop Web Access-portaler på én dag – langt over det daglige gjennomsnittet. Bare noen dager senere steg tallet til over 30 000 unike IP-adresser, noe som signaliserer en alvorlig rekognoseringsinnsats.

Tidsbasert enumerering

Skanningene utnytter tidsforskjeller i serverens svar. Ved å måle forsinkelser kan angripere avgjøre om et brukernavn eksisterer uten å ty til brute force-metoder. Denne teknikken gir dem mulighet til raskt å samle inn gyldige brukernavn, noe som gjør senere angrep langt mer effektive.

Eskalering på globalt nivå

GreyNoise bekreftet at 92 % av IP-adressene som var involvert, delte samme klientfingeravtrykk. De fleste kom fra Brasil, men rettet seg mot servere i USA. Omfanget og enhetligheten tyder på et sentralisert botnett eller en organisert gruppe bak aktiviteten.

Hvorfor utdanningssektoren er i fare

Toppen startet rundt 21. august, samtidig med skolestart i USA. Skoler og universiteter er ofte avhengige av RDP-miljøer for laboratorier og fjernaksess. De bruker dessuten forutsigbare brukernavn som student-ID-er eller e-postformater. Denne forutsigbarheten gjør dem til attraktive mål for angripere.

Potensielle fremtidige trusler

Historien viser at bølger av skanninger ofte går forut for aktiv utnyttelse. Når brukernavn er identifisert, kan angripere lansere brute force-angrep, passord-spraying eller til og med ransomware-kampanjer. Den brå økningen fra 2 000 til 30 000 IP-adresser indikerer forberedelser til større angrep.

Forsvarsstrategier

Organisasjoner kan ta flere grep for å redusere eksponeringen:

  • Innfør multifaktorautentisering (MFA) på alle RDP-innlogginger.
  • Begrens RDP-tilgang bak VPN-er eller brannmurer.
  • Overvåk logger for gjentatte skanningsmønstre.
  • Reduser offentlig eksponering av RDP-tjenester.
  • Bruk sterkere og mindre forutsigbare brukernavn.

Konklusjon

Økningen av koordinerte RDP-skanninger mot Microsoft-servere er en tydelig advarsel. Med over 30 000 IP-adresser involvert viser kampanjen hvor raskt rekognosering kan eskalere. Organisasjoner – spesielt innen utdanning – bør handle nå ved å innføre MFA, begrense RDP-tilgang og overvåke uvanlig aktivitet. Å være proaktiv er det beste forsvaret mot det som kan komme.

Siyana Georgieva

0 svar til “Koordinerte RDP-skanninger retter seg mot Microsoft-servere”