Una campaña a gran escala está dirigida a los servicios de Protocolo de escritorio remoto (RDP) en los Estados Unidos, utilizando una botnet de más de 100.000 direcciones IP. La actividad comenzó el 8 de octubre y los investigadores de la plataforma de monitoreo de amenazas GreyNoise creen que los ataques se originan en una botnet multinacional.

RDP es un protocolo de red que permite la conexión y el control remotos de sistemas Windows, comúnmente utilizado por administradores de sistemas, personal de asistencia técnica y empleados remotos. Los atacantes frecuentemente buscan puertos RDP abiertos para realizar inicios de sesión de fuerza bruta, explotar vulnerabilidades o realizar otros ataques.

Los investigadores de GreyNoise identificaron que la botnet emplea dos métodos de ataque específicos relacionados con RDP. El primero es un ataque de sincronización de RD Web Access, donde la botnet sondea los puntos finales y mide las diferencias en los tiempos de respuesta del servidor durante la autenticación anónima para inferir nombres de usuario válidos. El segundo método es una enumeración de inicio de sesión del cliente web RDP, que interactúa con el proceso de inicio de sesión para identificar cuentas de usuario observando diferentes comportamientos y respuestas del servidor.

You Might Also Like
Samsung producirá chips de conducción autónoma de 8 nm para Hyundai
Samsung producirá chips de conducción autónoma de 8 nm para Hyundai
Spotify lanza Fitness Hub con más de 1400 clases de Peloton a pedido
Spotify lanza Fitness Hub con más de 1400 clases de Peloton a pedido
YouTube amplía el asistente conversacional de IA a televisores inteligentes
YouTube amplía el asistente conversacional de IA a televisores inteligentes

La campaña se detectó por primera vez luego de un aumento inusual en el tráfico procedente de Brasil. Posteriormente surgió actividad en otros países, incluidos Argentina, Irán, China, México, Rusia, Sudáfrica y Ecuador. Según GreyNoise, los dispositivos comprometidos que forman la botnet están ubicados en más de 100 países.

  Apple agrega captura dual a la aplicación de cámara del iPhone 17

Un análisis técnico reveló que casi todas las direcciones IP atacantes comparten una huella digital TCP común. Se cree que las variaciones menores en el tamaño máximo del segmento se deben a diferentes grupos dentro de la botnet. Para mitigar esta amenaza, GreyNoise recomienda que los administradores del sistema bloqueen las direcciones IP atacantes identificadas y revisen los registros del sistema en busca de signos de sondeo RDP sospechoso.

Como práctica recomendada de seguridad, se recomienda a las organizaciones no exponer los servicios RDP directamente a la Internet pública. Implementar una red privada virtual (VPN) y requerir autenticación multifactor (MFA) puede proporcionar capas adicionales de protección contra dichos ataques.