RDP Sotto Tiro: Oltre 30.000 IP Sfruttano i Servizi Esposti per Attacchi Mirati

Il mondo della cybersecurity è in allerta per una massiccia e sofisticata campagna di scansione che sta prendendo di mira i servizi RDP (Remote Desktop Protocol) di Microsoft. Una ricerca condotta da GreyNoise ha rivelato che oltre 30.000 indirizzi IP unici sono stati impiegati per sondare le porte di autenticazione di Microsoft RD Web Access e RDP Web Client. L'attacco, particolarmente insidioso, non si affida a un volgare brute-force, ma a una tecnica più sottile e difficile da rilevare: l'enumerazione basata sul tempo. Questo metodo permette agli attaccanti di identificare nomi utente validi senza generare un elevato numero di tentativi falliti, bypassando così i sistemi di rilevamento tradizionali e creando in silenzio una lista di bersagli per future campagne. L'operazione, iniziata il 21 agosto 2025 con un'onda iniziale di 2.000 IP, è esplosa il 24 agosto, coinvolgendo un numero impressionante di 30.000 IP unici.

Il tempismo di questa campagna non è casuale: ha coinciso con il periodo di ritorno a scuola negli Stati Uniti, prendendo di mira in particolare le reti delle scuole e delle università, che spesso hanno schemi di nomi utente prevedibili. Questa focalizzazione rende gli attacchi di "credential stuffing" e "password spraying" significativamente più efficaci. L'analisi del traffico ha rivelato che il 92% delle infrastrutture utilizzate per la scansione era già noto per attività malevole, con la maggior parte dei tentativi proveniente dal Brasile. La firma dei client, insolitamente uniforme, suggerisce che l'intera operazione è gestita da un'infrastruttura di comando e controllo (C&C) centralizzata, indicando una potenziale operazione guidata da un Advanced Persistent Threat (APT). I ricercatori hanno inoltre notato che gli stessi IP stavano parallelamente scansionando anche servizi proxy aperti e condotti per attività di web crawling, confermando che dietro questa campagna c'è una toolkit multi-funzione e altamente organizzata.

Questa minaccia sottile ma pervasiva sottolinea l'importanza cruciale di adottare misure di sicurezza adeguate. Le organizzazioni che espongono servizi RDP a internet sono esposte a un rischio elevato. La protezione non si limita più a bloccare i tentativi di accesso, ma richiede una vigilanza costante per identificare schemi di comportamento anomali e una strategia proattiva. È fondamentale disabilitare l'accesso RDP esposto a internet, se non strettamente necessario, e proteggere l'accesso con VPN, autenticazione a più fattori (MFA) e una politica di password robuste e univoche. Le scansioni di questo tipo sono il primo passo di attacchi ben più gravi, e ignorarle significa lasciare la porta aperta a compromissioni future.