Хакеры используют серверы Windows RDP для усиления DDoS-атак

Дата: 22.01.2021. Автор: Артем П. Категории: Новости по информационной безопасности
Хакеры используют серверы Windows RDP для усиления DDoS-атак

Хакерские группировки активно злоупотребляют системами протокола удаленного рабочего стола Windows (RDP) для отражения и усиления нежелательного трафика, используемого при проведении DDoS-атак.

Компания NetScout заявила о том, что далеко не все серверы RDP могут применяться для злоупотребления, а только системы, в которых аутентификация RDP включена на UDP-порт 3389 поверх стандартного TCP-порта 3389.

Киберпреступники могут направлять искаженные UDP-пакеты на UDP-порты серверов RDP, которые будут отражаться на цель DDoS-атаки, увеличиваясь в размерах, что приводит к попаданию большого количества нежелательного трафика в систему цели.

Исследователи безопасности подобные процессы называют «фактором усиления DDoS», с помощью которого хакеры, которые не имеют доступа к достаточным ресурсам, имеют возможность запускать крупномасштабные DDoS-атаки за счет усиления нежелательного трафика с использованием систем, открытых в интернете.

При использовании RDP, как заявляют в компании NetScout, коэффициент усиления нежелательного трафика составляет 85,9, что является достаточно высоким показателем. Выше в рейтинге располагаются только серверы Jenkins (100), DNS (179), WS-Discovery (300-500), NTP (550), Memcached (50000).

Но наличие серьезного коэффициента усиления нежелательного трафика – это не самые плохие новости. В компании NetScout уверяют, что киберпреступники постепенно узнают об этом новом векторе, поэтому уже начали активно им злоупотреблять.

«Как обычно бывает с новыми векторами DDoS-атак, вначале их активно используют наиболее продвинутые киберпреступники, после чего они попадают в арсеналы наемных DDoS-услуг, потому что они становятся доступными для большинства, даже низкоквалифицированных хакеров», – заявляют специалисты NetScout.

«Мы настоятельно рекомендуем системным администраторам, которые запускают доступные в интернете серверы RDP перевести свои системы в автономный режим и переключить их на эквивалентный порт TCP или разместить серверы RDP за VPN, что позволит существенно ограничить круг лиц, способных взаимодействовать с уязвимыми системами. На данный момент мы уже нашли более 14 тыс. серверов RDP, которые открыты онлайн и работают на UDP-порте 3389», – резюмировали в NetScout.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *