В мире информационной безопасности распределённые атаки обычно исходят из тысяч источников, что затрудняет их блокировку. Однако иногда картина резко меняется, и угроза концентрируется в руках немногих. Именно это произошло в начале апреля 2026 года, когда небольшая группа из 21 IP-адреса, принадлежащих одному провайдеру, в течение двух дней генерировала почти половину всего сканирования протокола удалённого рабочего стола (RDP, Remote Desktop Protocol) в интернете. Такой уровень концентрации зловредной активности в одной точке не только является аномалией, но и серьёзно меняет ландшафт угроз для корпоративных сетей по всему миру.
Описание
Седьмого апреля 2026 года система наблюдения GreyNoise Observation Grid зафиксировала 2 753 274 сессии, помеченные как "RDP Crawler" - автоматическое сканирование интернета в поисках доступных RDP-сервисов. Ошеломляющие 67,4% этого трафика, а именно 1 856 167 сессий, исходили всего от 21 IP-адреса. Если рассматривать 48-часовое окно с 5 по 7 апреля, доля этой группы составила 49,7% от общемирового объёма сканирования RDP. Для сравнения, остальные 3 644 источника, разбросанные по всему миру, вместе сгенерировали оставшуюся половину активности. RDP десятилетиями остаётся одним из главных векторов атак на корпоративные сети, поскольку предоставляет прямой доступ к системе, и злоумышленники постоянно сканируют интернет в поисках незащищённых или слабо защищённых серверов с открытым 3389-м портом.
Все 21 адрес входят в автономную систему AS213438, которая, согласно данным регистратора RIPE, принадлежит компании ColocaTel Inc., зарегистрированной на Сейшельских островах. Это уже не первый всплеск активности с данной инфраструктуры. В первую неделю марта 2026 года AS213438 генерировала около 10,7 миллионов сессий различного сканирования, однако 7 марта её активность рухнула на 97,7% и почти затихла до конца месяца. В начале апреля она возобновилась, но в новом качестве: вместо разрозненного сканирования фокус сместился почти исключительно на RDP, а количество задействованных адресов сократилось. После резкого пика 7 апреля последовал уже знакомый сценарий: 8 апреля активность RDP-флота упала на 99,9%, а к 9 апреля полностью прекратилась. Таким образом, за месяц наблюдается два идентичных цикла "всплеск - обвал" с интервалом в 30 дней.
Специалисты GreyNoise провели тщательную проверку данных, чтобы исключить влияние изменений в собственной инфраструктуре наблюдения, и подтвердили реальность всплеска. Более того, анализ показал, что сканирующие системы работают чрезвычайно агрессивно: когда в сеть добавлялись новые сенсоры, трафик от AS213438 появлялся на них в течение считанных минут. Это указывает на высокую скорость и тотальность сканирования всего адресного пространства интернета. Флот сконцентрирован всего в четырёх сетевых блоках (/24) в Нидерландах, преимущественно в Амстердаме и Лелистаде. Использование одинаковых TLS-отпечатков и нестандартного набора портов для сканирования (включая альтернативные порты RDP 3390-3392 и множество портов для PostgreSQL) на множестве IP-адресов говорит о скоординированной операции с централизованно управляемым инструментарием, а не о разрозненном ботнете из скомпрометированных устройств.
Главным последствием этой концентрации стал резкий сдвиг в географической картине источников сканирования RDP. На протяжении многих месяцев лидером по этому показателю была Румыния. Однако за 48 часов доля Нидерландов выросла с 7,17% до 53,86%, что немедленно сделало эту страну крупнейшим источником подобных атак в мире. Примечательно, что объём сканирования из Румынии не уменьшился - он даже немного вырос. Просто активность из Нидерландов увеличилась в 15 раз, кардинально изменив пропорции. Для специалистов по безопасности это означает, что любые репутационные списки или системы блокировки, настроенные на основе исторических данных и считающие главной угрозой румынские IP-адреса, сейчас смотрят не туда. Реальная опасность исходит из совершенно другой точки.
Повторяющийся паттерн "всплеск - обвал" сам по себе является важной особенностью для построения обороны. Он напоминает тактику "вброса и отступления", которая может использоваться для проверки эффективности сканирования, обновления списков целей или маскировки под фоновый шум в периоды затишья. Тот факт, что зарегистрированная организация ColocaTel Inc. фигурирует в метаданных RIPE не только для AS213438, но и для другого сетевого блока, связанного с масштабным сканированием RDP в марте, указывает на определённую преемственность в использовании этой юридической оболочки для размещения атакующей инфраструктуры.
Для компаний, особенно тех, кто вынужден поддерживать доступ к RDP из интернета, эта ситуация служит жёстким напоминанием. Во-первых, сканирование и атаки на этот протокол носят постоянный и тотальный характер. Во-вторых, географические источники угроз могут меняться стремительно, что требует гибких и актуальных механизмов защиты. Ключевые рекомендации для SOC включают добавление четырёх идентифицированных сетевых блоков AS213438 в чёрные списки для входящего трафика, аудит логов аутентификации на предмет попыток подключения с этих адресов и проверку не только стандартного порта 3389, но и альтернативных (3390-3392), которые также активно использовались флотом. В свою очередь, специалистам по угрозам стоит отслеживать AS213438 на предмет следующего цикла активности, а также рассматривать ColocaTel Inc. как сквозной идентификатор, связанный с подобными операциями. В конечном счёте, эта история наглядно демонстрирует, как киберугрозы могут мгновенно менять свою дислокацию и концентрировать огромную мощь в минимальном количестве точек, требуя от защитников постоянной бдительности и адаптации.
Индикаторы компрометации
IPv4
- 185.196.220.130
- 193.142.147.111
- 193.142.147.177
- 45.134.225.47
- 79.124.8.148
- 79.124.8.151
CIDRs
- 185.196.220.0/24
- 193.142.147.0/24
- 45.134.225.0/24
- 79.124.8.0/24
