Une campagne à grande échelle cible les services RDP (Remote Desktop Protocol) aux États-Unis, en utilisant un botnet de plus de 100 000 adresses IP. L’activité a débuté le 8 octobre et les chercheurs de la plateforme de surveillance des menaces GreyNoise pensent que les attaques proviennent d’un botnet multi-pays.

RDP est un protocole réseau qui permet la connexion et le contrôle à distance des systèmes Windows, couramment utilisé par les administrateurs système, le personnel du service d’assistance et les employés distants. Les attaquants recherchent fréquemment les ports RDP ouverts pour effectuer des connexions par force brute, exploiter des vulnérabilités ou mener d’autres attaques.

Les chercheurs de GreyNoise ont identifié que le botnet emploie deux méthodes d’attaque spécifiques liées au RDP. La première est une attaque temporelle RD Web Access, dans laquelle le botnet sonde les points de terminaison et mesure les différences dans les temps de réponse du serveur lors de l’authentification anonyme pour en déduire des noms d’utilisateur valides. La deuxième méthode est une énumération de connexion du client Web RDP, qui interagit avec le processus de connexion pour identifier les comptes d’utilisateurs en observant les différents comportements et réponses du serveur.

You Might Also Like
Spotify met à jour l’application Apple TV avec les paroles et AI DJ
Spotify met à jour l’application Apple TV avec les paroles et AI DJ
Honor Magic V6 est lancé avec une énorme batterie de 6 600 mAh et un corps de 4 mm
Honor Magic V6 est lancé avec une énorme batterie de 6 600 mAh et un corps de 4 mm
Apple teste une couleur phare rouge foncé pour iPhone Pro
Apple teste une couleur phare rouge foncé pour iPhone Pro

La campagne a été détectée pour la première fois suite à un pic inhabituel de trafic en provenance du Brésil. L’activité a ensuite émergé dans d’autres pays, notamment en Argentine, en Iran, en Chine, au Mexique, en Russie, en Afrique du Sud et en Équateur. Selon GreyNoise, les appareils compromis qui forment le botnet se trouvent dans plus de 100 pays.

Une analyse technique a révélé que presque toutes les adresses IP attaquantes partagent une empreinte TCP commune. On pense que des variations mineures dans la taille maximale du segment sont causées par différents clusters au sein du botnet. Pour atténuer cette menace, GreyNoise recommande aux administrateurs système de bloquer les adresses IP attaquantes identifiées et d’examiner les journaux système à la recherche de signes de sondage RDP suspect.

En tant que bonne pratique de sécurité, il est conseillé aux organisations de ne pas exposer les services RDP directement à l’Internet public. La mise en œuvre d’un réseau privé virtuel (VPN) et l’exigence d’une authentification multifacteur (MFA) peuvent fournir des couches supplémentaires de protection contre de telles attaques.