Lonjakan Pemindaian Terkoordinasi Sasar Server Autentikasi RDP Microsoft
Para peneliti keamanan mendeteksi lonjakan signifikan dalam aktivitas pemindaian terkoordinasi yang menargetkan server Remote Desktop Protocol (RDP) milik Microsoft, khususnya yang menangani proses autentikasi. Aktivitas ini memicu kekhawatiran akan adanya gelombang baru serangan siber yang menyasar infrastruktur penting dengan skema brute force atau eksploitasi kerentanan.
Target Utama: Server Autentikasi RDP
Serangan ini tidak hanya menyasar port RDP biasa (TCP 3389), namun lebih spesifik mengincar endpoint yang terkait dengan Windows Login Authentication. Dalam beberapa kasus, penyerang tampak menguji berbagai jenis kredensial untuk mem-bypass sistem login, atau mencoba mengekstraksi informasi metadata dari respons server.
Lonjakan aktivitas ini mulai terlihat sejak awal bulan dan telah menyebar secara global, dengan IP sumber yang bervariasi dan berpindah-pindah. Ini menandakan adanya upaya yang terkoordinasi secara global, kemungkinan besar dilakukan oleh aktor ancaman yang telah membangun infrastruktur bot atau proxy untuk menyamarkan jejak mereka.
Potensi Ancaman: Eksploitasi dan Ransomware
Aktivitas pemindaian yang agresif ini berpotensi menjadi fase awal dari serangan yang lebih besar, termasuk eksploitasi celah keamanan atau penyebaran malware ransomware setelah berhasil menembus sistem.
Historisnya, celah pada RDP kerap dimanfaatkan oleh kelompok kriminal siber untuk mendapatkan akses awal ke sistem internal perusahaan. Akses ini kemudian dijual di pasar gelap atau dimanfaatkan langsung untuk melakukan enkripsi data, spionase, atau pencurian informasi rahasia.
Rekomendasi Mitigasi
Para pakar keamanan menyarankan agar administrator sistem segera:
- Menonaktifkan layanan RDP jika tidak digunakan
- Menerapkan autentikasi multi-faktor (MFA) untuk semua akses jarak jauh
- Membatasi akses RDP hanya untuk alamat IP terpercaya
- Memonitor log akses secara aktif untuk mendeteksi aktivitas mencurigakan
Penting juga untuk memastikan bahwa sistem Windows telah diperbarui dengan patch keamanan terbaru guna menutup potensi celah eksploitasi dari versi lama.
Kesiapsiagaan Semakin Penting
Lonjakan ini menjadi pengingat bahwa protokol jarak jauh seperti RDP masih menjadi sasaran utama para pelaku ancaman karena sifatnya yang sangat penting dalam operasional TI. Dengan meningkatnya ketergantungan pada akses jarak jauh, terutama dalam lingkungan kerja hybrid, memperkuat pertahanan terhadap serangan semacam ini menjadi prioritas mutlak.
Sumber: BleepingComputer
