Хакерские группировки активно злоупотребляют системами протокола удаленного рабочего стола Windows (RDP) для отражения и усиления нежелательного трафика, используемого при проведении DDoS-атак.
Компания NetScout заявила о том, что далеко не все серверы RDP могут применяться для злоупотребления, а только системы, в которых аутентификация RDP включена на UDP-порт 3389 поверх стандартного TCP-порта 3389.
Киберпреступники могут направлять искаженные UDP-пакеты на UDP-порты серверов RDP, которые будут отражаться на цель DDoS-атаки, увеличиваясь в размерах, что приводит к попаданию большого количества нежелательного трафика в систему цели.
Исследователи безопасности подобные процессы называют «фактором усиления DDoS», с помощью которого хакеры, которые не имеют доступа к достаточным ресурсам, имеют возможность запускать крупномасштабные DDoS-атаки за счет усиления нежелательного трафика с использованием систем, открытых в интернете.
При использовании RDP, как заявляют в компании NetScout, коэффициент усиления нежелательного трафика составляет 85,9, что является достаточно высоким показателем. Выше в рейтинге располагаются только серверы Jenkins (100), DNS (179), WS-Discovery (300-500), NTP (550), Memcached (50000).
Но наличие серьезного коэффициента усиления нежелательного трафика – это не самые плохие новости. В компании NetScout уверяют, что киберпреступники постепенно узнают об этом новом векторе, поэтому уже начали активно им злоупотреблять.
«Как обычно бывает с новыми векторами DDoS-атак, вначале их активно используют наиболее продвинутые киберпреступники, после чего они попадают в арсеналы наемных DDoS-услуг, потому что они становятся доступными для большинства, даже низкоквалифицированных хакеров», – заявляют специалисты NetScout.
«Мы настоятельно рекомендуем системным администраторам, которые запускают доступные в интернете серверы RDP перевести свои системы в автономный режим и переключить их на эквивалентный порт TCP или разместить серверы RDP за VPN, что позволит существенно ограничить круг лиц, способных взаимодействовать с уязвимыми системами. На данный момент мы уже нашли более 14 тыс. серверов RDP, которые открыты онлайн и работают на UDP-порте 3389», – резюмировали в NetScout.
