Вашему RDP поставили «лайк». История о том, как горстка серверов прочесала Интернет и нашла все изъяны
NewsMakerСтранная активность в сети рискует оказаться лишь репетицией перед настоящей атакой.
Небольшая группа серверов за считанные часы сумела перекроить привычную карту интернет-разведки. По данным GreyNoise, всего 21 IP-адрес обеспечил почти половину мирового потока сканирования RDP, а в пиковый день и вовсе занял две трети всей такой активности. Резкий всплеск быстро сменился почти полным затишьем, но именно такая нестабильность и делает эпизод особенно примечательным.
GreyNoise зафиксировала, что 7 апреля 2026 года 21 адрес сгенерировал 1,86 миллиона сессий RDP Crawler, или 67,4% мирового объёма по этому типу активности. Если взять окно с 5 по 7 апреля, доля той же группы составила 49,7%. Остальной интернет за тот же период дал сопоставимый объём только силами 3644 источников.
Речь идёт о RDP , протоколе удалённого доступа к Windows-системам. Злоумышленники массово ищут доступные извне узлы, а после обнаружения открытого сервиса нередко переходят к подбору паролей. Для корпоративных сетей такой канал давно остаётся одним из самых опасных, поэтому концентрация сканирования в руках столь малого числа адресов выглядит нетипично.
Все 21 IP входят в автономную систему AS213438, связанную в RIPE WHOIS с ColocaTel Inc. Адресное пространство в основном сосредоточено в Нидерландах, в районах Амстердама и Лелистада. По наблюдениям GreyNoise , активность шла в основном из четырёх сетевых блоков /24. За сутки объём трафика внутри AS213438 вырос примерно в 11 раз, с 180 тысяч до более чем 2 миллионов сессий, после чего почти мгновенно обрушился. Уже 8 апреля поток сократился на 99,9%, а 9 апреля RDP-сканирование с этой группы исчезло полностью.
Небольшая группа серверов за считанные часы сумела перекроить привычную карту интернет-разведки. По данным GreyNoise, всего 21 IP-адрес обеспечил почти половину мирового потока сканирования RDP, а в пиковый день и вовсе занял две трети всей такой активности. Резкий всплеск быстро сменился почти полным затишьем, но именно такая нестабильность и делает эпизод особенно примечательным.
GreyNoise зафиксировала, что 7 апреля 2026 года 21 адрес сгенерировал 1,86 миллиона сессий RDP Crawler, или 67,4% мирового объёма по этому типу активности. Если взять окно с 5 по 7 апреля, доля той же группы составила 49,7%. Остальной интернет за тот же период дал сопоставимый объём только силами 3644 источников.
Речь идёт о RDP , протоколе удалённого доступа к Windows-системам. Злоумышленники массово ищут доступные извне узлы, а после обнаружения открытого сервиса нередко переходят к подбору паролей. Для корпоративных сетей такой канал давно остаётся одним из самых опасных, поэтому концентрация сканирования в руках столь малого числа адресов выглядит нетипично.
Все 21 IP входят в автономную систему AS213438, связанную в RIPE WHOIS с ColocaTel Inc. Адресное пространство в основном сосредоточено в Нидерландах, в районах Амстердама и Лелистада. По наблюдениям GreyNoise , активность шла в основном из четырёх сетевых блоков /24. За сутки объём трафика внутри AS213438 вырос примерно в 11 раз, с 180 тысяч до более чем 2 миллионов сессий, после чего почти мгновенно обрушился. Уже 8 апреля поток сократился на 99,9%, а 9 апреля RDP-сканирование с этой группы исчезло полностью.