Los piratas informáticos están explotando los servidores RDP de Windows para escalar los ataques DDoS

Los investigadores de Netscout han descubierto un nuevo vector de ataque DDoS, en el que los atacantes están abusando de los servidores RDP de Windows para amplificar el tráfico de correo electrónico no deseado cuando alcanzan los objetivos. La laguna en esto es que los servidores RDP están expuestos en el puerto 3389, lo que permitiría a los atacantes con menos recursos amplificar el tráfico general de basura.

Un nuevo vector de ataque DDoS

Los piratas informáticos están explotando los servidores RDP de Windows para escalar los ataques DDoS

Netscout, una empresa de ciberseguridad, lanzó una alerta el martes, detallando un nuevo vector de ataque DDoS. Denegación de servicio distribuida (DDoS) es dirigir el tráfico malicioso contra un sitio web o servidor para que se suprima cuando se trata de más de su capacidad.

Esto evita que los usuarios genuinos accedan al servicio mientras está inactivo. Debido a que el ataque de un solo dispositivo se puede detectar fácilmente, los piratas informáticos a menudo usan varios dispositivos desde múltiples ubicaciones para atacar al mismo tiempo, por lo que están distribuidos y son difíciles de rastrear. Se ha encontrado un nuevo vector para hacer esto., donde los atacantes utilizan servidores RDP de Windows.

Aqui, se dirigen a servidores RDP que tienen la autenticación RDP habilitada y con el puerto UDP 3389 habilitado en el puerto TCP general 3389. Inicialmente, los atacantes enviarían inicialmente paquetes UDP mal formados a los servidores RDP, que serían devueltos por los puertos UDP al sistema del objetivo en tamaño amplificado.

Como señalaron los investigadores, los atacantes pueden amplificar este ataque de una manera excelente, ya que enviar solo unos pocos bytes de la solicitud de datos a los servidores RDP está devolviendo alrededor de 1.260 bytes de paquetes de ataque contra el objetivo. Esto permite a los piratas informáticos, incluso con recursos de bajo costo, lanzar ataques a gran escala, recibiendo así un factor de amplificación de 85,9.

Los atacantes están abusando tanto de esto que ahora se agrega al paquete de servicios DDoS de alquiler inicial / estresante, lo que brinda a los atacantes en general una nueva opción. Por lo tanto, los investigadores están alertando a los administradores del sistema sobre use VPN en servidores RDP vulnerables o cambie a un puerto TCP equivalente o desconéctelos para evitar ataques.