Аналитики GreyNoise сообщили о новой волне атак на Remote Desktop Protocol (RDP) в США, исходящей от ботнета с более чем 100 000 уникальных IP-адресов. По наблюдениям исследователей, активная фаза кампании стартовала 8 октября 2025 года и характеризуется согласованными по времени и профилю атаками, что указывает на централизованное управление инфраструктурой злоумышленников.
Что зафиксировала GreyNoise: масштаб и география кампании
Первыми признаками инцидента стал аномальный всплеск RDP-трафика из Бразилии, после чего сходная активность быстро распространилась на другие регионы. В числе наиболее заметных источников фигурируют Аргентина, Иран, Китай, Мексика, Россия, ЮАР и Эквадор. По данным GreyNoise, общее число стран, из которых задействованы скомпрометированные устройства, превышает сотню, что говорит о широкой децентрализованной базе узлов и глубокой зараженности пользовательских и корпоративных систем.
Тактика противника: два набора RDP-активности
Исследователи выделяют две категории поведения на уровне RDP, отличающиеся темпом и характером установления соединений. Одна из категорий ориентирована на масштабное выявление доступных сервисов (грубое сканирование), другая — на более прицельные попытки установления сеансов. Детали используемых приемов и наборы учетных данных не раскрываются, однако текущий профиль активности указывает на подготовку к дальнейшим этапам компрометации, включая попытки несанкционированной аутентификации.
Технические признаки: TCP-сигнатура, MSS и кластеризация
Почти все задействованные IP-адреса демонстрируют общую TCP-сигнатуру, что указывает на унифицированную программную базу или однотипные шаблоны сетевого стека на зараженных узлах. Зафиксированы различия в MSS (Maximum Segment Size), которые, по оценке специалистов, объясняются различиями инфраструктурных кластеров внутри ботнета — вероятно, из-за разнообразия провайдеров доступа, маршрутов или сетевых политик в регионах присутствия. Сочетание общей сигнатуры и временной синхронизации обращений усиливает гипотезу о централизованном управлении ботнетом.
Почему это важно для организаций в США
RDP (порт 3389/TCP) остается одним из самых часто атакуемых удаленных сервисов: он предоставляет прямой канал к серверным и рабочим станциям, а его ошибочная экспозиция в интернет существенно увеличивает площадь атаки. Исторически, по данным публичных отчетов отрасли (включая материалы FBI IC3 и Microsoft), компрометация RDP часто предшествует вымогательским инцидентам, боковому перемещению и краже данных. Текущая кампания повышает общий фоновый шум сканирования и может маскировать целевые попытки взлома под массовую активность.
Рекомендации по защите RDP: практический чеклист
Быстрые меры снижения риска целесообразно сочетать с укреплением архитектуры удаленного доступа. Рекомендуется:
- Максимально ограничить экспозицию RDP: закрыть прямой доступ из интернета, использовать VPN, ZTNA или RD Gateway.
- Включить NLA, применить MFA для админских и удаленных сеансов, внедрить строгие политики паролей и блокировку после неудачных попыток.
- Реализовать списки разрешенных IP (allowlist), геофильтрацию и ограничение доступа по времени для админских узлов.
- Мониторить и оперативно блокировать источники атак на периметре (Firewall/WAF/EDR), учитывая ротацию IP в ботнете.
- Обновить и пропатчить RDP-стек и ОС, отключить устаревшие протоколы и слабые шифры.
- Для внешних систем применить защиту от перебора (fail2ban/lockout), а для критичных хостов — изоляцию в отдельных сетевых сегментах.
Что отслеживать в логах и сетевом трафике
Повышенную диагностическую ценность имеют журналы событий аутентификации и сетевые метрики. Обратите внимание на:
- Массовые попытки установления RDP-сеансов с разных географий в коротком интервале времени.
- Серии неуспешных входов на локальные и доменные учетные записи, особенно на админские.
- Аномалии в шаблонах User-Agent/криптосвитов при TLS-настройках RDP (если применимо) и повторяющиеся TCP-параметры.
- Переключение источников при блокировке IP и возврат атакующих через новые подсети провайдеров.
Масштабная RDP-кампания, наблюдаемая GreyNoise с 8 октября 2025 года, демонстрирует зрелость и координацию ботнета, охватывающего свыше 100 стран и более 100 000 IP. Организациям следует рассматривать прямую доступность RDP как высокий риск и приоритизировать архитектурные меры: закрытие экспозиции, MFA, контроль источников, усиленный мониторинг логов и оперативную блокировку атакующих диапазонов. Укрепите удаленный доступ сегодня — это снизит вероятность компрометации завтра и усложнит злоумышленникам реализацию дальнейших этапов атаки.
