Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Вашему RDP поставили «лайк». История о том, как горстка серверов прочесала Интернет и нашла все изъяны

leer en español

GreyNoise AS213438 ColocaTel Inc. RDP сканирование Нидерланды интернет-разведка
Вашему RDP поставили «лайк». История о том, как горстка серверов прочесала Интернет и нашла все изъяны
GreyNoise AS213438 ColocaTel Inc. RDP сканирование Нидерланды интернет-разведка

Странная активность в сети рискует оказаться лишь репетицией перед настоящей атакой.

image

Небольшая группа серверов за считанные часы сумела перекроить привычную карту интернет-разведки. По данным GreyNoise, всего 21 IP-адрес обеспечил почти половину мирового потока сканирования RDP, а в пиковый день и вовсе занял две трети всей такой активности. Резкий всплеск быстро сменился почти полным затишьем, но именно такая нестабильность и делает эпизод особенно примечательным.

GreyNoise зафиксировала, что 7 апреля 2026 года 21 адрес сгенерировал 1,86 миллиона сессий RDP Crawler, или 67,4% мирового объёма по этому типу активности. Если взять окно с 5 по 7 апреля, доля той же группы составила 49,7%. Остальной интернет за тот же период дал сопоставимый объём только силами 3644 источников.

Речь идёт о RDP, протоколе удалённого доступа к Windows-системам. Злоумышленники массово ищут доступные извне узлы, а после обнаружения открытого сервиса нередко переходят к подбору паролей. Для корпоративных сетей такой канал давно остаётся одним из самых опасных, поэтому концентрация сканирования в руках столь малого числа адресов выглядит нетипично.

Все 21 IP входят в автономную систему AS213438, связанную в RIPE WHOIS с ColocaTel Inc. Адресное пространство в основном сосредоточено в Нидерландах, в районах Амстердама и Лелистада. По наблюдениям GreyNoise, активность шла в основном из четырёх сетевых блоков /24. За сутки объём трафика внутри AS213438 вырос примерно в 11 раз, с 180 тысяч до более чем 2 миллионов сессий, после чего почти мгновенно обрушился. Уже 8 апреля поток сократился на 99,9%, а 9 апреля RDP-сканирование с этой группы исчезло полностью.

Похожую схему GreyNoise уже видела в марте. Тогда AS213438 также резко нарастила объём, стала одним из самых заметных источников сканирования, а затем почти полностью замолчала. В апреле сценарий повторился почти зеркально, только с более узкой специализацией. Около 85% всей активности в новом всплеске пришлось именно на RDP Crawler, а вместе с другими RDP-метками доля выросла примерно до 88%.

Важный сдвиг произошёл и на уровне географии. Если раньше одним из главных источников RDP-сканирования считалась Румыния, то в начале апреля лидерство на коротком отрезке перешло к Нидерландам. Их доля выросла с 7,17% до 53,86%, тогда как румынская просела с 29,89% до 15,78%. При этом объём из Румынии не рухнул, просто нидерландский сегмент вырос намного быстрее и изменил общую картину.

GreyNoise отдельно подчёркивает, что не связывает активность с конкретной группировкой и не делает выводов о взломах реальных систем. Сенсоры компании видят только входящий поток сканирования, попытки перебора и похожие действия на публичном интернете.

Тем не менее, сама модель «резкий всплеск — обвал — пауза — повтор» уже выглядит как сигнал для защитников, особенно для компаний с открытым RDP-доступом.