Die exponierten Server verteilen sich besonders auf Organisationen aus den Bereichen Einzelhandel, Bildung, Dienstleistungen, Fertigung und Gesundheitswesen. Auffällig ist nach Forescouts Analyse, dass viele dieser Server Windows-Versionen einsetzen, die das Ende ihrer Lebensdauer oder ihres Supports erreicht haben.
Mehr als 19.000 RDP-Server sind für die ältere Schwachstelle BlueKeep anfällig, die von einem breiten Spektrum an Angreifern ausgenutzt wurde. Bei VNC fällt die fehlende Zugangskontrolle ins Gewicht: Fast 60.000 VNC-Server verlangen keinerlei Authentifizierung. Unter ihnen sind die 670 Server, die ungeschützt direkten Zugriff auf ICS/OT-Bedienpanels erlauben.
Forescout verweist darauf, dass Russland zugeordnete Angreifer dafür bekannt sind, OT-Systeme über VNC ins Visier zu nehmen — eine Warnung, die Regierungsbehörden im Dezember 2025 aussprachen. Eine dieser Gruppen, bekannt als Infrastructure Destruction Squad (IDS) beziehungsweise Dark Engine, verbreitete kürzlich ein Werkzeug, das gezielt nach RDP, VNC und OT-spezifischen Protokollen sucht.
Laut Forescout teilte die Gruppe am 23. Februar ein Video einer angeblich kompromittierten Grundwasserpumpstation in Israel, die mit diesem Werkzeug aufgespürt worden sein soll. Am 9. März folgte ein weiteres Beispiel des Einsatzes gegen ausgewählte Ziele, darunter ein VNC-Screenshot eines Steuerungssystems in der Türkei. Zwischen diesen beiden Veröffentlichungen bot die Gruppe zudem den Verkauf eines Zugangs zu einem exponierten SCADA-System in Tschechien an.
Neben diesen Angriffen weist das Sicherheitsunternehmen darauf hin, dass gewinnorientierte Cyberkriminelle RDP zur Verbreitung von Ransomware missbrauchen. Das Botnetz Redheberg habe seit Februar fast 40.000 exponierte VNC-Server infiziert.
Zur Risikominderung empfiehlt Forescout den Einsatz dedizierter Lösungen für sicheren Fernzugriff, einschließlich solcher, die eigens für den Zugang zu sensiblen cyber-physischen Systemen ausgelegt sind.