Serangan Botnet Masif Targetkan Layanan RDP dari 100.000+ Alamat IP

Sebuah kampanye botnet berskala besar dan terkoordinasi tengah aktif menyerang layanan Protokol Desktop Jarak Jauh (Remote Desktop Protocol/RDP) di seluruh Amerika Serikat, menimbulkan ancaman serius terhadap infrastruktur digital yang mendukung kerja jarak jauh.

GreyNoise, perusahaan keamanan siber, melaporkan pada 8 Oktober 2025 bahwa mereka telah mengidentifikasi lonjakan serangan signifikan yang berasal dari lebih dari 100.000 alamat IP unik yang tersebar di lebih dari 100 negara. Serangan ini diyakini dikendalikan secara terpusat, dengan tujuan utama mengeksploitasi kelemahan sistem RDP—komponen vital dalam pengelolaan dan akses jarak jauh.

Pola Serangan dan Temuan Awal

Investigasi dimulai ketika analis GreyNoise mendeteksi lonjakan lalu lintas mencurigakan dari alamat IP yang berlokasi di Brasil. Penyelidikan lanjutan mengungkap pola serupa dari berbagai negara lain, termasuk Argentina, Iran, Tiongkok, Meksiko, Rusia, dan Afrika Selatan. Meskipun berasal dari lokasi geografis yang berbeda, semua serangan mengarah ke target yang sama: layanan RDP di Amerika Serikat.

Para analis meyakini bahwa serangan ini merupakan bagian dari operasi botnet tunggal berskala besar. Keyakinan ini diperkuat oleh kesamaan sidik jari TCP dari hampir seluruh alamat IP yang terlibat, menunjukkan adanya sistem komando dan kontrol yang terstandarisasi dan terpusat.

Teknik Eksploitasi yang Digunakan

Pelaku ancaman menggunakan dua metode utama untuk mengidentifikasi dan mengeksploitasi sistem yang rentan:

• Serangan Pengaturan Waktu Akses Web RD
  Teknik ini melibatkan pengukuran waktu respons server terhadap upaya login, memungkinkan penyerang membedakan antara nama pengguna yang valid dan tidak valid secara anonim.

• Enumerasi Login Klien Web RDP
  Metode ini secara sistematis mencoba menebak kredensial pengguna, memungkinkan botnet memindai dan menemukan titik akses RDP yang dapat dieksploitasi tanpa memicu sistem deteksi keamanan standar.

Kombinasi teknik yang canggih dan sinkronisasi serangan dari ribuan node menunjukkan bahwa kampanye ini dijalankan oleh satu entitas atau kelompok dengan kendali operasional yang tinggi.

Langkah Mitigasi dan Rekomendasi

Sebagai respons terhadap ancaman ini, GreyNoise telah merilis panduan mitigasi bagi para profesional keamanan jaringan. Organisasi disarankan untuk:

• Memeriksa log keamanan secara proaktif untuk mendeteksi aktivitas RDP yang tidak biasa atau pola login yang gagal.
• Menggunakan templat daftar blokir dinamis "microsoft-rdp-botnet-oct-25" yang tersedia di platform GreyNoise, untuk secara otomatis memblokir alamat IP yang teridentifikasi sebagai bagian dari botnet.

Selain itu, organisasi yang mengandalkan RDP untuk kerja jarak jauh harus memperkuat sistem mereka dengan:

• Kebijakan kata sandi yang kuat dan kompleks.
• Penerapan autentikasi multi-faktor (MFA).
• Pembatasan akses berdasarkan lokasi atau waktu.

Langkah-langkah ini penting untuk mencegah serangan brute-force dan menjaga integritas sistem dari ancaman siber yang semakin canggih.

Sumber: cybersecuritynews