Rdp

Pesquisadores de cibersegurança identificaram uma rede de IPs ucranianos envolvida em campanhas massivas de força bruta e ‘password spraying’ direcionadas a dispositivos SSL VPN e RDP entre junho e julho de 2025. A atividade se originou de um sistema autônomo baseado na Ucrânia, o FDN3 (AS211736), que faz parte de uma infraestrutura abusiva mais ampla, incluindo outras redes ucranianas e um sistema baseado nas Seychelles. Essas redes, alocadas em agosto de 2021, frequentemente trocam prefixos IPv4 para evitar bloqueios e continuar suas atividades maliciosas. Os ataques, que atingiram um pico recorde entre 6 e 8 de julho de 2025, são utilizados por grupos de ransomware como vetor inicial para invadir redes corporativas. A análise também revelou conexões com provedores de hospedagem ‘bulletproof’, que oferecem anonimato e facilitam a continuidade das atividades maliciosas. A situação é preocupante, pois destaca a vulnerabilidade de tecnologias amplamente utilizadas, como VPNs e RDPs, que são alvos frequentes de ataques cibernéticos.

Entre junho e julho de 2025, uma campanha coordenada de ataques de força bruta e password-spraying visou dispositivos SSL VPN e RDP em todo o mundo, com foco em sistemas interconectados registrados na Ucrânia e nas Seychelles. Analistas de segurança identificaram a atividade como sendo atribuída ao FDN3 (AS211736), controlado por Dmytro Nedilskyi, que realizou centenas de milhares de tentativas de login em um curto período. Os ataques utilizaram listas de credenciais conhecidas e visaram portas RDP e SSL VPN, com uma taxa de tentativas de 5.000 a 10.000 por hora. A infraestrutura dos atacantes é altamente evasiva, utilizando trocas de prefixos para evitar bloqueios e manter a pressão sobre os alvos. As organizações são aconselhadas a adotar estratégias proativas de detecção e resposta, utilizando serviços de inteligência de ameaças para mitigar esses ataques antes que ocorram. A situação representa um risco significativo para empresas que utilizam essas tecnologias, especialmente em um cenário onde a proteção de dados é crucial.

A empresa de cibersegurança GreyNoise alertou sobre um ataque hacker em larga escala direcionado ao Microsoft Remote Desktop Web Access e ao RDP Web Client. O número de acessos aos portais de autenticação aumentou drasticamente, passando de uma média de 3 a 5 acessos diários para mais de 56 mil acessos simultâneos, com a maioria dos IPs originando-se do Brasil e os alvos localizados nos Estados Unidos. Essa atividade anômala sugere a utilização de uma botnet ou ferramentas de ataque coordenadas. A GreyNoise identificou que 92% dos IPs envolvidos já haviam sido sinalizados como maliciosos anteriormente. O ataque parece explorar falhas de tempo, onde variações no tempo de resposta do sistema podem revelar informações sobre a validade de logins. O aumento da atividade coincide com o retorno às aulas nos EUA, quando muitos novos usuários são criados, facilitando a adivinhação de credenciais. A recomendação para as empresas é implementar autenticação de dois fatores (2FA) e utilizar VPNs para proteger o acesso remoto.

No dia 21 de agosto de 2025, a GreyNoise Intelligence registrou um aumento sem precedentes na atividade de reconhecimento do Protocolo de Área de Trabalho Remota (RDP), com 1.971 endereços IP únicos realizando varreduras simultâneas nos portais de autenticação do Microsoft RD Web Access e do Microsoft RDP Web Client. A maioria desses IPs (1.851) compartilhava a mesma assinatura de cliente, indicando uma campanha coordenada para descobrir nomes de usuários válidos antes de tentativas de invasão baseadas em credenciais. Aproximadamente 92% dos IPs já haviam sido identificados como maliciosos, com 73% da atividade originando-se do Brasil, tendo os Estados Unidos como alvo. A GreyNoise também identificou uma onda subsequente de escaneamento que ultrapassou 30.000 IPs, sinalizando uma escalada dramática na intenção dos atacantes de mapear endpoints RDP expostos. Este aumento de atividade ocorre em um período crítico, quando instituições educacionais estão online, o que torna a exploração de esquemas de nomes de usuário previsíveis uma preocupação significativa. Organizações com portais RDP expostos devem revisar e reforçar seus fluxos de autenticação, implementando autenticação multifator e monitorando anomalias.