Powrót do strony głównej

Skanowanie RDP AS213438: skoki i ryzyka

GreyNoise odnotowała koncentrację skanowania RDP na 21 IP w AS213438 z Niderlandów, które zapewniły do 67% globalnego ruchu w kwietniu 2026. Analiza dynamiki, zmian geo i zaleceń ochronnych. To zmienia podejście do monitorowania zagrożeń.

Skok skanowania RDP z AS213438: 67% ruchu
Advertisement 728x90

Koncentracja skanowania RDP w sieci AS213438: analiza wzrostów i przesunięć geograficznych

Monitorowanie przeprowadzone przez GreyNoise wykazało nietypową koncentrację globalnego ruchu skanującego protokół RDP na 21 adresach IP należących do systemu autonomicznego AS213438, powiązanego z ColocaTel Inc. w Holandii. W dniach 5–7 kwietnia 2026 roku te adresy generowały aż 67,4% światowego ruchu, co wskazuje na scentralizowane działania wywiadowcze prowadzone w internecie.

Skala i dynamika skanowania

W okresie od 5 do 7 kwietnia 2026 roku grupa 21 adresów IP należących do AS213438 wygenerowała 1,86 miliona sesji RDP Crawler. Odpowiadało to 49,7% całkowitego globalnego ruchu w tym czasie oraz szczytowe 67,4% w dniu 7 kwietnia. Dla porównania, pozostałe 3644 źródła wygenerowały zbliżony łączny ruch.

Aktywność była skoncentrowana w czterech blokach /24, głównie w Amsterdamie i Lelystadzie. W obrębie AS213438 dzienny ruch wzrósł aż 11-krotnie — od 180 tysięcy do 2 milionów sesji — po czym 8 kwietnia spadł o 99,9%, by 9 kwietnia całkowicie ustać. Podobny wzorzec obserwowano również w marcu 2026 roku.

Google AdInline article slot

Protokół RDP, umożliwiający zdalny dostęp do systemów Windows, pozostaje narażonym wektorem ataków. Skanowanie służy identyfikacji otwartych portów, za którymi często następuje atak typu brute-force w celu złamania hasła. Taka koncentracja znacząco zwiększa ryzyko dla korporacyjnych sieci z publicznym dostępem.

Zmiany geograficzne w źródłach zagrożeń

Na początku kwietnia 2026 roku Holandia przejęła tymczasowo liderkę w skanowaniu RDP. Jej udział wzrósł z 7,17% do 53,86%, podczas gdy Rumunia zmniejszyła swój udział z 29,89% do 15,78%. Pomimo że objętość ruchu rumuńskiego pozostała stabilna, segment holenderski dominował dzięki gwałtownemu wzrostowi.

  • Kluczowe obszary aktywności: Cztery sieci /24 w AS213438.
  • Szczytowy wkład: 85% dla RDP Crawler, nawet do 88% z innymi etykietami RDP.
  • Porównanie z marcem: Cykliczny wzorzec „wzrost–zapaść”.
  • Kontekst globalny: 21 adresów vs. 3644 inne źródła.

To przesunięcie podkreśla mobilność infrastruktury skanującej oraz rolę centrów danych w Europie jako hubów dla automatyzowanych operacji.

Google AdInline article slot

Przyczyny i konsekwencje dla bezpieczeństwa sieciowego

Takie nagłe wzrosty sygnalizują wykorzystanie zasobów chmurowych do masowego sondowania sieci. ColocaTel Inc., zarejestrowana w Holandii, oferuje hosting łatwo skalowalny. Gwałtowny wzrost ruchu wskazuje na skoordynowaną kampanię, być może mającą na celu mapowanie podatnych serwerów RDP przed ich wykorzystaniem.

Konsekwencje obejmują zwiększone obciążenie systemów ochronnych: zapory ogniowe i systemy IDS/IPS rejestrują anomalie, jednak scentralizowana natura ruchu ułatwia jego blokadę. Dla firm jest to sygnał do audytu otwartych portów RDP oraz przejścia na rozwiązania typu VPN lub model zero-trust. W dłuższej perspektywie takie wzorce przyczyniają się do ewolucji zagrożeń — od fazy rozpoznawczej do ataków docelowych z wykorzystaniem ransomware.

Ogólny kontekst: RDP nadal znajduje się w czołówce 10 wektorów ataków według danych MITRE ATT&CK. Globalny ruch skanujący przekracza miliardy sesji rocznie, skupiając się głównie na przestarzałych wersjach Windows bez uwierzytelniania wieloskładnikowego (MFA).

Google AdInline article slot

Co warto zapamiętać

  • Koncentracja 67,4% ruchu na 21 adresach IP w AS213438 zmienia obraz rozproszonych zagrożeń.
  • Cykl „wzrost–zapadnięcie” powtarza się, co może sygnalizować przygotowania do ataków.
  • Przesunięcie liderki ku Holandii nasila potrzebę stosowania blokad geograficznych.
  • 85–88% aktywności dotyczy specyficznie RDP, co zwiększa ryzyko dla sieci opartych na Windows.
  • Rekomendacja: wyłączyć publiczny dostęp do RDP, wprowadzić uwierzytelnianie wieloskładnikowe.

— Editorial Team

Advertisement 728x90

Czytaj dalej