Negli ultimi giorni, una botnet composta da oltre 100.000 indirizzi IP distribuiti in più di 100 paesi sta attaccando in modo coordinato i servizi di Remote Desktop Protocol (RDP), con una particolare intensità negli Stati Uniti. L’obiettivo è individuare sistemi remoti esposti per poi tentare intrusioni e furti di dati. Gli esperti consigliano di bloccare gli indirizzi IP sospetti, rivedere la configurazione dei servizi RDP, usare l’autenticazione a più fattori e non esporre mai direttamente RDP su internet, privilegiando l’accesso tramite VPN. Questi semplici accorgimenti possono arginare rapidamente rischi anche gravi per aziende e professionisti.
Cos’è successo: la nuova ondata di attacchi RDP
Dall’8 ottobre 2025, le principali piattaforme di threat intelligence hanno registrato una crescita senza precedenti di attività sospette che prendono di mira le porte e i servizi RDP, sfruttati spesso da amministratori IT, helpdesk, utenti in smart working e fornitori di servizi remoti. La botnet che si cela dietro questa campagna sta impiegando due tecniche sofisticate:
RD Web Access Timing Attacks: sono attacchi basati sull’analisi del tempo di risposta del servizio RD Web Access, che consentono agli aggressori di determinare se un determinato username è valido ancora prima di tentare il login. Il tempismo delle risposte, infatti, varia tra username esistenti e inesistenti.
RDP Web Client Login Enumeration: questa tecnica sfrutta differenze nel comportamento della web interface per la gestione RDP (ad esempio, l’RDP Web Client di Windows Server) per capire quali account utente esistano realmente studiando attentamente le risposte del sistema durante il processo di autenticazione.
Queste modalità di attacco, relativamente silenziose e non basate sul semplice brute force, mirano principalmente a mappare account validi per poi orchestrare attacchi mirati o vendere informazioni di accesso a cybercriminali.
Chi sono gli attaccanti: una botnet distribuita e centralizzata
La botnet utilizza oltre 100.000 IP da più di 100 Paesi, tra cui Brasile, Argentina, Iran, Cina, Messico, Russia, Sudafrica ed Ecuador, ma il bersaglio principale rimangono i server con RDP attivi negli Stati Uniti. Un aspetto inquietante è che tutti i nodi della botnet mostrano un fingerprint TCP quasi identico, a parte alcune variazioni nel parametro MSS (Maximum Segment Size) dovute probabilmente ai diversi cluster di macchine compromesse. Questa omogeneità indica una gestione centralizzata e ben strutturata, lontana dai vecchi modelli di botnet caotiche.
La scoperta è avvenuta a seguito di un’anomalia nel traffico proveniente dal Brasile: in poche ore, le stesse caratteristiche tecniche sono apparse a livello globale, suggerendo un attacco orchestrato e l’attivazione di centinaia di migliaia di dispositivi zombie appartenenti a privati, aziende, service provider e probabilmente IoT compromessi.
Modalità operative della botnet
Gli attacchi si differenziano da quelli tradizionali sfruttando:
Automazione spinta: ogni bot esegue sequenze di scansione e sonda le risorse RDP seguendo pattern ben precisi. L’orchestrazione avviene da remoto, aggiornando rapidamente la lista delle vittime e adattandosi a risposte difensive.
Anonimato end-to-end: la botnet nasconde la reale origine dell’attacco disperdendo il traffico globale; risalire al comando e controllo è molto complesso.
Aggiornamento dei target: le azioni non risultano da liste statiche di bersagli ma sono il frutto di una continua raccolta di open port e dispositivi online, rilevati anche tramite motori di ricerca IoT e database OSINT.
Evoluzione delle tecniche: la strategia attuale punta prima all’enumerazione degli account, per passare successivamente a tentativi mirati di password guessing, sfruttamento vulnerabilità note oppure vendita delle credenziali su marketplace underground.
Impatto e rischi concreti
Esposizione dati sensibili: Se la botnet individua account validi, inizia una fase di forza bruta o tenta vulnerabilità note, riuscendo spesso a compromettere sistemi critici.
Rischio ransomware: L’accesso RDP è una delle principali porte di ingresso per ransomware. Compromettere account amministrativi significa mettere a rischio l’integrità di un’intera infrastruttura IT.
Escalation di privilegi: Tramite accesso iniziale (anche solo limitato), un hacker può tentare l’escalation di privilegi e muoversi lateralmente nella rete aziendale.
Utilizzo risorse aziendali: I dispositivi compromessi possono essere impiegati come nuovi nodi nella botnet, aumentando ulteriormente la superficie d’attacco.
Sintomi di un attacco: cosa cercare nei log e nei sistemi
- Spike anomali di traffico sulle porte RDP (tipicamente 3389/tcp).
- Accessi anomali dagli stessi IP in fasce orarie inconsuete, provenienti da paesi inusuali.
- Tentativi ripetuti di autenticazione fallita, spesso a pochi secondi di distanza l’uno dall’altro (pattern tipico dell’automazione).
- Incremento improvviso di errori di autenticazione o di blocchi temporanei degli account.
- Log di sistema che mostrano tentativi di accesso ai servizi RDP Web Access e RDP Web Client Login da host mai visti prima.
Rischi per aziende e organizzazioni
Le aziende americane sono attualmente le più colpite, sia per la maggiore diffusione dell’uso RDP in ambiente corporate sia perché l’infrastruttura pubblica e privata statunitense rappresenta un bersaglio con alto valore per i cybercriminali. Tuttavia, per la natura distribuita della botnet, nessun Paese può considerarsi al sicuro: la velocità di pivoting della botnet permette ai suoi operatori di cambiare target in poche ore, spostando il focus dove la difesa appare meno attenta o dove la superficie di attacco risulta più ampia.
Come difendersi: consigli e azioni semplici ma efficaci
Ecco le prime misure da adottare subito per alzare il livello di sicurezza:
- Bloccare immediatamente gli IP noti coinvolti negli attacchi. Sfruttare, quando disponibile, blacklist dinamiche o strumenti come GreyNoise Block.
- Verificare che i servizi RDP non siano esposti direttamente su internet. Limitare l’accesso solo a utenti o IP di fiducia tramite firewall, whitelist o VPN.
- Analizzare periodicamente i log di accesso a RDP per rilevare tentativi di sonda, enumerazione o brute force.
- Attivare l’autenticazione a più fattori (MFA/2FA): questa misura rende quasi inefficaci numerosi attacchi anche in presenza di credenziali rubate.
- Aggiornare regolarmente sistemi operativi e applicativi Microsoft, per correggere vulnerabilità note sfruttate durante gli attacchi.
- Imporre password robuste e stabilire criteri di lockout dopo pochi tentativi di accesso falliti.
Approfondimenti: strumenti avanzati, policy e prevenzione
Per organizzazioni di medie e grandi dimensioni si consiglia inoltre di:
- Implementare soluzioni di Network Detection & Response (NDR) per identificare pattern di traffico anomali e correlare eventi sospetti in tempo reale.
- Integrare sistemi di Threat Intelligence capaci di aggiornare automaticamente le regole di blocco sugli IP e gli IoC (Indicatori di Compromissione) più recenti legati alla botnet.
- Segmentare la rete e ridurre il più possibile i privilegi degli account con accesso ai servizi RDP.
- Formare gli utenti sugli attacchi di social engineering: spesso le fasi successive all’intrusione prevedono l’utilizzo di tecniche di phishing interne per scalare ulteriormente i privilegi.
- Eseguire test periodici di vulnerabilità sui sistemi esposti, simulando attacchi automatizzati come quelli descritti.
- Attivare la registrazione dettagliata degli eventi di sicurezza (audit logging) e la correlazione automatica con alert specifici per i servizi RDP.
In caso di sospetta compromissione, agire tempestivamente disconnettendo i servizi RDP dalla rete, cambiando tutte le credenziali afferenti e avviando immediatamente analisi forense. Prevedere un piano di risposta dedicato e, se necessario, rivolgersi a esperti di Cyber Incident Response.
La nuova campagna della botnet da 100.000 IP rappresenta uno dei più grandi rischi informatici degli ultimi anni per chi usa RDP: la combinazione di automazione globale, ricerca mirata di utenti validi e rapidità di movimento mette in seria difficoltà qualsiasi amministratore. Solo con la difesa proattiva, la limitazione della superficie d’attacco e l’aggiornamento costante delle policy si può ridurre drasticamente il rischio di subire danni irreversibili.
Consiglio avanzato: nei contesti più delicati, prendere in considerazione servizi RDP che supportano la limitazione geografica degli accessi, soluzioni di Zero Trust Network Access (ZTNA) e la segmentazione micro-perimetrale degli ambienti che ospitano dati sensibili o servono processi critici.
Agire ora significa prevenire le prossime ondate d’attacco prima che sia troppo tardi.
