Admin
Администратор
Небольшая группа серверов за считанные часы сумела перекроить привычную карту интернет-разведки.
По данным GreyNoise, всего 21 IP-адрес обеспечил почти половину мирового потока сканирования RDP, а в пиковый день занял две трети всей активности.
GreyNoise зафиксировала, что 7 апреля 2026 года 21 адрес сгенерировал 1,86 миллиона сессий RDP Crawler, что составило 67,4% мирового объёма по этому типу активности. Все 21 IP входят в автономную систему AS213438, связанную с ColocaTel Inc. Адресное пространство сосредоточено в Нидерландах. Активность шла в основном из четырёх сетевых блоков /24. За сутки объём трафика внутри AS213438 вырос примерно в 11 раз, после чего почти мгновенно обрушился. Уже 8 апреля поток сократился на 99,9%, а 9 апреля RDP-сканирование с этой группы исчезло полностью. Похожую схему GreyNoise уже видела в марте. Тогда AS213438 также резко нарастила объём, стала одним из самых заметных источников сканирования, а затем почти полностью замолчала. В апреле сценарий повторился почти зеркально, только с более узкой специализацией. Около 85% всей активности в новом всплеске пришлось именно на RDP Crawler. Важный сдвиг произошёл и на уровне географии. Если раньше одним из главных источников RDP-сканирования считалась Румыния, то в начале апреля лидерство на коротком отрезке перешло к Нидерландам. Их доля выросла с 7,17% до 53,86%, тогда как румынская просела с 29,89% до 15,78%. GreyNoise отдельно подчёркивает, что не связывает активность с конкретной группировкой и не делает выводов о взломах реальных систем.
