Uma nova botnet com mais de 100 mil dispositivos infectados está realizando ataques em massa contra serviços de Remote Desktop Protocol (RDP) em todo o mundo, com especial concentração nas Américas, Europa e Ásia. A operação, identificada no início de outubro, é uma das maiores campanhas de força bruta já registradas neste tipo de serviço. Os ataques começaram a ser observados após um grande pico de tráfego anômalo direcionado a portas RDP expostas.
A análise de especialistas revelou que todos os endereços IP usados na ofensiva exibiam padrões idênticos de conexão TCP, o que indica coordenação centralizada de uma única botnet. Segundo os pesquisadores, os operadores da rede maliciosa exploram técnicas de timing e enumeração de logins para testar credenciais em larga escala. O objetivo é descobrir usuários e senhas válidos que possam ser usados para invadir servidores corporativos e acessar redes internas de empresas e governos. A botnet opera em mais de 100 países, com concentração significativa de dispositivos comprometidos no Brasil, China, Rússia, Irã, África do Sul e Estados Unidos. Grande parte das máquinas envolvidas são roteadores domésticos, servidores mal configurados e equipamentos IoT, todos com senhas fracas ou padrões de fábrica.
Especialistas alertam que o aumento nos ataques RDP representa um risco direto para empresas de todos os portes, já que esse protocolo é amplamente utilizado para acesso remoto a servidores e estações de trabalho. A invasão bem-sucedida de um RDP costuma ser o primeiro passo em ataques de ransomware, sendo usada por grupos como LockBit, Black Basta e Akira. Os cibercriminosos usam ferramentas automatizadas para realizar milhares de tentativas de login por minuto, explorando servidores expostos à internet. Em muitos casos, uma única credencial comprometida pode permitir acesso completo à infraestrutura da empresa, facilitando a instalação de malware, roubo de dados e movimentação lateral.
