GreyNoise verzeichnet seit dem 8. Oktober 2025 eine neue, hochgradig koordinierte Welle von Angriffen auf das Remote Desktop Protocol (RDP, Port 3389/TCP) in den USA. Kennzeichen der Kampagne sind zeitlich synchronisierte Aktivitäten eines Botnetzes mit mehr als 100.000 eindeutigen IP-Adressen und eine einheitliche technische Signatur, was stark auf zentral gesteuerte Infrastruktur hindeutet.
Ausmaß und Geografie der RDP-Kampagne
Der erste auffällige Peak stammte aus Brasilien; die Aktivität breitete sich anschließend schnell auf weitere Regionen aus. Besonders präsent sind Argentinien, Iran, China, Mexiko, Russland, Südafrika und Ecuador. Insgesamt werden über 100 Länder als Herkunft der kompromittierten Hosts genannt – ein Indiz für eine weit verzweigte, heterogene Basis aus infizierten Verbraucher- und Unternehmenssystemen.
Taktiken und beobachtete Muster der Angreifer
GreyNoise differenziert zwei Aktivitätsmuster auf RDP-Ebene: breit angelegte Erkundung (massives Scanning zur Identifikation offener Dienste) und gezieltere Verbindungsversuche, die auf Sitzungsaufbau und spätere Authentifizierungsversuche abzielen. Konkrete Credential-Sets wurden nicht offengelegt. Das Profil spricht jedoch für Vorbereitungsschritte zu Brute-Force-, Password-Spraying- oder Credential-Stuffing-Kampagnen – typische Vorstufen für unautorisierte Zugriffe.
Einordnung nach MITRE ATT&CK
Die Aktivitäten lassen sich u. a. den Techniken T1133 (External Remote Services) und T1110 (Brute Force) zuordnen. Solche Muster sind häufig der Auftakt für Lateral Movement und Datendiebstahl, bevor schließlich Ransomware oder andere schädliche Payloads nachgeladen werden. Behörden wie FBI IC3 und CISA warnen seit Jahren, dass offen erreichbares oder falsch konfiguriertes RDP zu den häufigsten Initialzugängen bei Erpressungsfällen gehört (vgl. CISA “StopRansomware”-Hinweise und Microsoft-Hardening-Guides).
Technische Indikatoren: TCP-Signatur und MSS-Variationen
Nahezu alle beteiligten IPs zeigen eine gemeinsame TCP-Signatur, was auf einheitliche Malware-Builds oder identische Netzwerk-Stacks der kompromittierten Nodes schließen lässt. Gleichzeitig beobachtet GreyNoise Unterschiede beim Maximum Segment Size (MSS), die auf verschiedene Cluster innerhalb des Botnetzes hindeuten – etwa bedingt durch Provider, Routing-Pfade oder regionale Netzwerk-Policies. Die zeitliche Synchronisation der Verbindungsversuche verstärkt die Hypothese eines zentralen Command-&-Control.
Risiken für Unternehmen in den USA
RDP bleibt ein Hochrisiko-Dienst: Direkter Internetzugang vergrößert die Angriffsfläche erheblich. In der Praxis ist die Kompromittierung von RDP häufig der Vorbote für Ransomware, Privilegienausweitung und seitliche Bewegung. Zudem kann der durch die Kampagne erzeugte “Grundrauschen”-Traffic gezielte Einbruchsversuche verschleiern, wenn Verteidiger fehlerhafte Korrelationen annehmen oder Alarmmüdigkeit eintritt.
Praktische Schutzmaßnahmen für RDP
- Exposition reduzieren: Direkten Internetzugriff abschalten; statt dessen VPN, ZTNA oder RD Gateway einsetzen.
- Härtung: NLA aktivieren, MFA erzwingen, starke Passwortrichtlinien und Kontosperrung nach Fehlversuchen implementieren.
- Zugriffskontrollen: Allowlists, Geofiltering und zeitbasierte Zugriffsfenster für Admin-Hosts anwenden.
- Erkennung/Blockierung: Perimeter- und Endpunktschutz (Firewall/IPS/EDR) nutzen; mit IP-Rotation der Angreifer rechnen.
- Patch-Management: Betriebssystem und RDP-Stack aktuell halten; veraltete Protokolle und schwache Chiffren deaktivieren (z. B. alte TLS-Versionen, unsichere RC4-Suites).
- Missbrauch erschweren: Schutz gegen Rate-Limits/Brute-Force (z. B. fail2ban), sensible Systeme segmentieren, Just-in-Time-Zugriffe für Admin-Konten erwägen.
Was in Logs und Netzwerkverkehr überwachen
- Auth-Events: Häufungen fehlgeschlagener und erfolgreicher Anmeldungen (Windows u. a. 4625/4624), Terminaldienste-Events (z. B. 1149) mit Fokus auf Admin-Konten.
- Geografische Muster: Viele Verbindungsversuche aus unterschiedlichen Ländern in kurzer Zeit.
- Kryptoprofile/TCP-Merkmale: Auffällige TLS-Client-Profile (falls RDP über TLS) und wiederkehrende TCP-Parameter inklusive MSS-Charakteristika.
- Taktische Ausweichbewegungen: Wechselnde Quell-IP/Subnetze nach Blockierung, erneut auftretende Provider-Cluster.
Die von GreyNoise beobachtete, seit dem 8. Oktober 2025 andauernde RDP-Kampagne unterstreicht die Professionalität eines Botnetzes, das über 100.000 IPs in mehr als 100 Ländern vereint. Organisationen sollten RDP-Zugänge als kritischen Risiko-Faktor behandeln, die Internet-Exposition beenden, MFA und NLA flächendeckend durchsetzen, Zugriffe streng kontrollieren und Telemetrie konsequent korrelieren. Wer jetzt Architektur und Monitoring stärkt, reduziert die Wahrscheinlichkeit erfolgreicher Kompromittierungen und erschwert Folgeschritte wie Lateral Movement und Ransomware erheblich.