Utrecht, 15 juni 2016 – Onderzoekers van
Kaspersky Lab hebben een mondiaal forum onderzocht waarop cybercriminelen toegang tot gecompromitteerde servers kunnen kopen en verkopen voor bedragen vanaf slechts $6 per stuk. Op de xDedic-markt, die lijkt te worden geleid door een Russischtalige groep, staan momenteel 70.624 gehackte Remote Desktop Protocol (RDP)-servers te koop. Veel van de servers hosten of bieden toegang tot populaire consumentenwebsites en -diensten. Sommige hebben software geïnstalleerd voor direct mail, boekhouden en Point-of-Sale (PoS) verwerking. Ze kunnen worden gebruikt om de infrastructuren van de gebruikers aan te vallen. Of als lanceerplatform voor bredere aanvallen, terwijl de eigenaren geen idee hebben wat er gebeurt.
xDedic is een krachtig voorbeeld van een nieuw type marktplaats voor cybercriminelen: goed georganiseerd en ondersteund. Het biedt iedereen, van beginnende cybercriminelen tot APT-groepen, snelle, goedkope en gemakkelijke toegang tot legitieme organisatie-infrastructuur. Zo kunnen zij hun misdaden zo lang mogelijk onder de radar houden.
Een Europese internet service provider (ISP) attendeerde Kaspersky Lab op het bestaan van xDedic en de bedrijven werkten samen tijdens het onderzoek naar de werking van het forum. Het proces is eenvoudig en grondig: hackers breken in op servers, vaak via brute-force aanvallen, en zetten de referenties op xDedic. De gehackte servers worden vervolgens gecontroleerd op hun RDP-configuratie, geheugen, software, browse-geschiedenis en meer. Allemaal functies die klanten kunnen doorzoeken voordat ze tot aankoop overgaan. Hierna worden ze toegevoegd aan een groeiende online inventaris, inclusief toegang tot:
- servers die behoren tot overheidsnetwerken, ondernemingen en universiteiten;
- servers die zijn getagt voor het hebben van toegang tot of het hosten van bepaalde websites en diensten, waaronder games, goksites, dating, online winkelen, online bankieren en betalingen, mobiele telefoonnetwerken, ISP's en browsers;
- servers met vooraf geïnstalleerde software die kan worden gebruikt om een aanval te faciliteren, waaronder direct mail, financiële en PoS-software.
- dit alles wordt ondersteund door een scala aan hack- en systeeminformatie-tools.
Voor bedragen vanaf slechts $6 per server, kunnen leden van het xDedic forum toegang krijgen tot alle servergegevens en deze ook gebruiken als platform voor verdere kwaadaardige aanvallen.Dit kan mogelijk ook gerichte aanvallen, malware, DDoS, phishing, social-engineering en adware-aanvallen omvatten. De rechtmatige eigenaren van de servers, gerenommeerde organisaties waaronder overheidsnetwerken, ondernemingen en universiteiten, zijn zich vaak niet bewust van de inbreuk op hun IT-infrastructuur. Zodra een campagne is afgerond, kunnen de aanvallers verder toegang tot de server back-up te koop aanbieden, waarna het hele proces opnieuw kan beginnen.
De groep achter xDedic lijkt Russischtalig te zijn en beweert dat het slechts een handelsplatform biedt en geen links of relaties heeft met de verkopers. De xDedic marktplaats lijkt ergens in 2014 van start te zijn gegaan en is sinds medio 2015 aanzienlijk gegroeid in populariteit. In mei 2016 stonden er 70.624 servers uit 173 landen te koop, geplaatst uit naam van 416 verschillende verkopers. De top 10 getroffen landen zijn: Brazilië, China, Rusland, India, Spanje, Italië, Frankrijk, Australië, Zuid-Afrika en Maleisië. Nederland neemt de 32e positie in met 736 servers op de lijst. In België gaat het om 419 aangeboden servers.
"xDedic is een verdere bevestiging dat cybercrime-as-a-service zich uitbreidt via de toevoeging van commerciële ecosystemen en handelsplatformen. Het bestaan ervan maakt het voor iedereen, van laaggeschoolde kwaadwillende aanvallers tot door natiestaten gesteunde APT's, gemakkelijker dan ooit om deel te nemen aan potentieel verwoestende aanvallen op een manier die goedkoop, snel en effectief is. De ultieme slachtoffers zijn niet alleen de consumenten of organisaties die het doelwit zijn van een aanval, maar ook de nietsvermoedende eigenaren van de servers: deze zijn zich waarschijnlijk volledig onbewust van het feit dat hun servers keer op keer worden gekaapt voor verschillende aanvallen, die allemaal recht onder hun neus worden uitgevoerd", zegt Costin Raiu, Director van het Global Research and Analysis Team bij Kaspersky Lab.
Kaspersky Lab adviseert organisaties om:
- een robuuste beveiligingsoplossing te installeren als onderdeel van een uitgebreide, meerlaagse benadering van de IT-infrastructuur beveiliging;
- het gebruik van sterke wachtwoorden op te leggen, als onderdeel van het serverauthenticatieproces;
- een continu proces van patchbeheer te implementeren;
- een regelmatige security audit van de IT-infrastructuur te ondergaan;
- een investering in dreigingsinlichtingendiensten te overwegen; dit houdt de organisatie op de hoogte van opkomende dreigingen en biedt inzicht in het criminele perspectief, om zo hun risiconiveau te kunnen beoordelen.
Lees meer over xDedic op
Securelist.com