RDP-Scanning-Anstieg in AS213438: Analyse von Traffic-Spitzen und geografischen Verschiebungen
GreyNoise hat eine ungewöhnliche Konzentration an globalem RDP-Protokoll-Scanning-Traffic über 21 IP-Adressen innerhalb des autonomen Systems AS213438 registriert, das ColocaTel Inc. in den Niederlanden zugeordnet ist. Vom 5. bis 7. April 2026 entfielen bis zu 67,4 % des weltweiten Volumens auf diese Adressen – ein Hinweis auf zentralisierte Internet-Aufklärungsaktivitäten.
Umfang und Dynamik der Scanning-Aktivität
Zwischen dem 5. und 7. April 2026 generierten 21 IP-Adressen unter AS213438 insgesamt 1,86 Millionen RDP-Crawler-Sitzungen. Dies entspricht 49,7 % des gesamten globalen Traffics in diesem Zeitraum und erreichte am 7. April einen Höchststand von 67,4 %. Zum Vergleich: Alle übrigen 3.644 Quellen zusammen erzeugten etwa das gleiche Volumen.
Die Aktivität konzentrierte sich auf vier /24-Netzblöcke, hauptsächlich in Amsterdam und Lelystad. Innerhalb von AS213438 stieg der tägliche Traffic um das 11-Fache – von 180.000 auf 2 Millionen Sitzungen – bevor er am 8. April um 99,9 % zurückging und am 9. April vollständig endete. Ein ähnliches Muster zeigte sich bereits im März 2026.
Das RDP-Protokoll, das für den Fernzugriff auf Windows-Systeme genutzt wird, bleibt eine anfällige Angriffsfläche. Beim Scannen werden offene Ports identifiziert, häufig gefolgt von Brute-Force-Passwortversuchen. Eine solche Konzentration erhöht die Risiken für Unternehmensnetzwerke mit öffentlich zugänglichen Diensten.
Geografische Verschiebungen bei Bedrohungsquellen
Anfang April 2026 überholten die Niederlande vorübergehend andere Länder als führende Quelle für RDP-Scanning. Ihr Anteil stieg von 7,17 % auf 53,86 %, während Rumänien von 29,89 % auf 15,78 % fiel. Das rumänische Trafficvolumen blieb stabil, doch niederländische Infrastruktur dominierte aufgrund eines starken Anstiegs.
- Hauptaktivitätsblöcke: Vier /24-Netzwerke innerhalb von AS213438
- Maximale Beteiligung: Bis zu 85 % des RDP-Crawler-Traffics, steigend auf 88 % unter Einbezug weiterer RDP-bezogener Tags
- Vergleich mit März: Wiederkehrender Zyklus aus Anstieg und Stille
- Globaler Kontext: 21 IPs gegenüber 3.644 anderen Quellen
Diese Verschiebung verdeutlicht die Mobilität von Scanning-Infrastrukturen und die Rolle europäischer Rechenzentren als Drehkreuze für automatisierte Cyberoperationen.
Ursachen und Auswirkungen auf die Netzwerksicherheit
Diese Trafficspitzen spiegeln den Einsatz von Cloud-Ressourcen für großflächige Netzwerksondierungen wider. ColocaTel Inc., im Register der Niederlande eingetragen, bietet skalierbare Hosting-Dienste an. Der plötzliche Anstieg deutet auf eine koordinierte Kampagne hin, möglicherweise zur Kartierung anfälliger RDP-Server vor einer späteren Ausnutzung.
Die Folgen sind eine höhere Belastung für Sicherheitssysteme: Firewalls und IDS/IPS erkennen Anomalien, doch durch die Zentralisierung wird das Blockieren vereinfacht. Für Unternehmen ist dies ein klares Signal, exponierte RDP-Ports zu überprüfen und auf VPNs oder Zero-Trust-Architekturen umzusteigen. Langfristig beschleunigen solche Muster die Entwicklung von Bedrohungen – von der Aufklärung bis hin zu gezielten Ransomware-Angriffen.
Übergeordneter Kontext: RDP bleibt in den Top 10 der Angriffsvektoren gemäß MITRE ATT&CK. Das jährliche globale Scanning-Volumen übersteigt Milliarden von Sitzungen und konzentriert sich stark auf veraltete Windows-Versionen ohne Multi-Faktor-Authentifizierung (MFA).
Wichtigste Erkenntnisse
- Eine Konzentration von 67,4 % des Traffics auf nur 21 IPs in AS213438 verändert das Landschaftsbild verteilter Bedrohungen
- Das wiederkehrende Muster aus „Anstieg und Zusammenbruch“ weist auf Vorbereitungen für zukünftige Angriffe hin
- Der Wechsel der Dominanz zu den Niederlanden unterstreicht die Notwendigkeit geo-basierter Sperrstrategien
- 85–88 % der Aktivität ist RDP-spezifisch und erhöht die Risiken für Windows-basierte Netzwerke
- Empfehlung: Öffentlichen RDP-Zugriff deaktivieren und Multi-Faktor-Authentifizierung einführen
— Editorial Team
Noch keine Kommentare.