Koncentracja skanowania RDP w sieci AS213438: analiza wzrostów i przesunięć geograficznych
Monitorowanie przeprowadzone przez GreyNoise wykazało nietypową koncentrację globalnego ruchu skanującego protokół RDP na 21 adresach IP należących do systemu autonomicznego AS213438, powiązanego z ColocaTel Inc. w Holandii. W dniach 5–7 kwietnia 2026 roku te adresy generowały aż 67,4% światowego ruchu, co wskazuje na scentralizowane działania wywiadowcze prowadzone w internecie.
Skala i dynamika skanowania
W okresie od 5 do 7 kwietnia 2026 roku grupa 21 adresów IP należących do AS213438 wygenerowała 1,86 miliona sesji RDP Crawler. Odpowiadało to 49,7% całkowitego globalnego ruchu w tym czasie oraz szczytowe 67,4% w dniu 7 kwietnia. Dla porównania, pozostałe 3644 źródła wygenerowały zbliżony łączny ruch.
Aktywność była skoncentrowana w czterech blokach /24, głównie w Amsterdamie i Lelystadzie. W obrębie AS213438 dzienny ruch wzrósł aż 11-krotnie — od 180 tysięcy do 2 milionów sesji — po czym 8 kwietnia spadł o 99,9%, by 9 kwietnia całkowicie ustać. Podobny wzorzec obserwowano również w marcu 2026 roku.
Protokół RDP, umożliwiający zdalny dostęp do systemów Windows, pozostaje narażonym wektorem ataków. Skanowanie służy identyfikacji otwartych portów, za którymi często następuje atak typu brute-force w celu złamania hasła. Taka koncentracja znacząco zwiększa ryzyko dla korporacyjnych sieci z publicznym dostępem.
Zmiany geograficzne w źródłach zagrożeń
Na początku kwietnia 2026 roku Holandia przejęła tymczasowo liderkę w skanowaniu RDP. Jej udział wzrósł z 7,17% do 53,86%, podczas gdy Rumunia zmniejszyła swój udział z 29,89% do 15,78%. Pomimo że objętość ruchu rumuńskiego pozostała stabilna, segment holenderski dominował dzięki gwałtownemu wzrostowi.
- Kluczowe obszary aktywności: Cztery sieci /24 w AS213438.
- Szczytowy wkład: 85% dla RDP Crawler, nawet do 88% z innymi etykietami RDP.
- Porównanie z marcem: Cykliczny wzorzec „wzrost–zapaść”.
- Kontekst globalny: 21 adresów vs. 3644 inne źródła.
To przesunięcie podkreśla mobilność infrastruktury skanującej oraz rolę centrów danych w Europie jako hubów dla automatyzowanych operacji.
Przyczyny i konsekwencje dla bezpieczeństwa sieciowego
Takie nagłe wzrosty sygnalizują wykorzystanie zasobów chmurowych do masowego sondowania sieci. ColocaTel Inc., zarejestrowana w Holandii, oferuje hosting łatwo skalowalny. Gwałtowny wzrost ruchu wskazuje na skoordynowaną kampanię, być może mającą na celu mapowanie podatnych serwerów RDP przed ich wykorzystaniem.
Konsekwencje obejmują zwiększone obciążenie systemów ochronnych: zapory ogniowe i systemy IDS/IPS rejestrują anomalie, jednak scentralizowana natura ruchu ułatwia jego blokadę. Dla firm jest to sygnał do audytu otwartych portów RDP oraz przejścia na rozwiązania typu VPN lub model zero-trust. W dłuższej perspektywie takie wzorce przyczyniają się do ewolucji zagrożeń — od fazy rozpoznawczej do ataków docelowych z wykorzystaniem ransomware.
Ogólny kontekst: RDP nadal znajduje się w czołówce 10 wektorów ataków według danych MITRE ATT&CK. Globalny ruch skanujący przekracza miliardy sesji rocznie, skupiając się głównie na przestarzałych wersjach Windows bez uwierzytelniania wieloskładnikowego (MFA).
Co warto zapamiętać
- Koncentracja 67,4% ruchu na 21 adresach IP w AS213438 zmienia obraz rozproszonych zagrożeń.
- Cykl „wzrost–zapadnięcie” powtarza się, co może sygnalizować przygotowania do ataków.
- Przesunięcie liderki ku Holandii nasila potrzebę stosowania blokad geograficznych.
- 85–88% aktywności dotyczy specyficznie RDP, co zwiększa ryzyko dla sieci opartych na Windows.
- Rekomendacja: wyłączyć publiczny dostęp do RDP, wprowadzić uwierzytelnianie wieloskładnikowe.
— Editorial Team
Brak komentarzy.