Zpět na domů

RDP-skenování AS213438: návaly a rizika

GreyNoise zaznamenala koncentraci RDP-skenování na 21 IP v AS213438 z Nizozemska, které zajistily až 67 % globálního provozu v dubnu 2026. Analýza dynamiky, geografických posunů a doporučení k ochraně. To mění přístup k monitorování hrozeb.

Nával RDP-skenování z AS213438: 67 % provozu
Advertisement 728x90

Koncentrace RDP skenování v síti AS213438: analýza výskoků a geografických posunů

Monitorování společnosti GreyNoise odhalilo neobvyklou koncentraci globálního provozu skenování RDP protokolu na 21 IP adresách v autonomní soustavě AS213438, spojené s ColocaTel Inc. v Nizozemsku. V období 5.–7. dubna 2026 tyto adresy generovaly až 67,4 % celosvětového objemu, což naznačuje centralizované průzkumné operace v internetovém prostoru.

Měřítko a dynamika skenování

V období 5.–7. dubna 2026 skupina 21 IP adres patřících do AS213438 vygenerovala 1,86 milionu relací RDP Crawler. To představovalo 49,7 % veškerého globálního provozu za sledované období a 67,4 % v špičkovém dni 7. dubna. Pro srovnání – zbývajících 3644 zdrojů dosáhlo srovnatelného objemu.

Aktivita byla soustředěna do čtyř /24 bloků, převážně v Amsterdamu a Lelystadu. Uvnitř AS213438 denní provoz vzrostl 11násobně – z 180 tisíc na 2 miliony relací – poté se 8. dubna snížil o 99,9 % a 9. dubna zcela ukončil. Podobný vzor byl pozorován již v březnu 2026.

Google AdInline article slot

RDP protokol pro vzdálený přístup k Windows systémům zůstává zranitelným vektorem útoků. Skenování odhaluje otevřené porty, za nimiž často následuje hrubá síla (brute-force) při uhodnutí hesel. Taková koncentrace zvyšuje riziko pro firemní sítě s veřejným přístupem.

Geografické změny ve zdrojích hrozeb

Na začátku dubna 2026 přešlo vedení ve skenování RDP dočasně do Nizozemska. Jeho podíl stoupl z 7,17 % na 53,86 %, zatímco Rumunsko kleslo z 29,89 % na 15,78 %. Objem rumunského provozu zůstal stabilní, ale nizozemský segment dominoval díky prudkému nárůstu.

  • Klíčové bloky aktivity: Čtyři /24 sítě v AS213438.
  • Špičkový přínos: 85 % u RDP Crawler, až 88 % s dalšími RDP značkami.
  • Srovnání s březnem: Opakující se cyklus výskok–klid.
  • Globální kontext: 21 adres versus 3644 ostatních zdrojů.

Tento posun zdůrazňuje mobilitu infrastruktury skenování a roli evropských datových center jako uzlů pro automatizované operace.

Google AdInline article slot

Příčiny a dopady na síťovou bezpečnost

Tyto výskyty odrážejí využití cloudových zdrojů pro masivní průzkum. ColocaTel Inc., registrovaná v Nizozemsku, nabízí hosting snadno škálovatelný. Prudký nárůst provozu naznačuje orchestrovanou kampaň, možná zaměřenou na mapování zranitelných RDP serverů před jejich využitím.

Dopady zahrnují zvýšené zatížení ochranných systémů: brány firewall a IDS/IPS detekují anomálie, ale centralizace usnadňuje blokování. Pro firmy jde o signál k auditu otevřených RDP portů a přechodu na VPN nebo model zero-trust. Dlouhodobě takové vzory přispívají k vývoji hrozeb – od průzkumu ke cíleným útokům s ransomwarem.

Celkový kontext: RDP zůstává v top 10 útočných vektorů podle MITRE ATT&CK. Celosvětový objem skenování přesahuje miliardy relací ročně, s důrazem na zastaralé verze Windows bez MFA.

Google AdInline article slot

Co je důležité

  • Koncentrace 67,4 % provozu na 21 IP adresách v AS213438 mění obraz distribuovaných hrozeb.
  • Cyklus „výskok–propad“ se opakuje, což signalizuje přípravu na útoky.
  • Posun vedení k Nizozemsku zvyšuje potřebu geo-blokování.
  • 85–88 % aktivity je specificky zaměřeno na RDP, což zvyšuje riziko pro Windows sítě.
  • Doporučení: uzavřete veřejné RDP, zaveďte vícefaktorové ověřování.

— Editorial Team

Advertisement 728x90

Číst dál