Οι απατεώνες χρησιμοποιούν την xDedic υπόγεια αγορά για να πουλήσουν ή να νοικιάσουν χακαρισμένους servers που ανήκουν σε διάφορες εταιρείες.
Η αγορά, η οποία ξεκίνησε πριν από δύο χρόνια και φιλοξενείται σε μια χώρα της Ανατολικής Ευρώπης, απαριθμεί σήμερα πάνω από 70.000 servers σε όλο τον κόσμο και καλύπτει μια ποικιλία από setups και τεχνολογίες.
Η Kaspersky, η εταιρεία ασφαλείας που ανακάλυψε την xDedic, λέει ότι οι ιδιοκτήτες της αγοράς της δεν πωλούν τίποτα, αλλά παρέχουν μόνο μια πλατφόρμα όπου οι εγκληματίες μπορούν να διαφημίσουν τους χακαρισμένους servers τους, κάτι παρόμοιο με το επιχειρηματικό μοντέλο του eBay.
Όλοι οι servers που διαφημίζονται στη xDedic ελέγχονται πριν από τη δημοσιευθούν στην αγορά και ενημερώνεται συνεχώς. Οι ιδιοκτήτες της xDedic χρησιμοποιούν εργαλεία αυτόματης σάρωσης για να ελέγχουν αν οι χακαρισμένοι servers είναι προσβάσιμοι, όπως ο διαφημίζει ο πωλητής τους. Αυτά τα εργαλεία επιστρέφουν και λεπτομέρειες του server hardware, ανοίγουν ports και προσφέρουν και μια λίστα των εγκατεστημένων κομματιών λογισμικού.
Οι πωλητές σπάνια εγκαθιστούν το δικό τους λογισμικό στους χακαρισμένους servers και συνήθως αφήνουν τις αρχικές εφαρμογές στη θέση τους. Το μόνο πράγμα που μερικές φορές εγκαθιστούν είναι patches server για να επιτρέπονται πολλαπλά RDP sessions.
Η xDedic ομάδα δημιούργησε ακόμη και το δικό της Windows RDP client, το οποίο συνδέεται με τη βάση δεδομένων της υπηρεσίας, ανακτά το ιστορικό αγορών του χρήστη, και γεμίζει αυτόματα πληροφορίες σύνδεσης για οποιονδήποτε από τους χακαρισμένους servers που αγοράζονται από τον πελάτη.
Η μέση τιμή ενοικίασης ενός server είναι $6. Αυτή η χαμηλή τιμή επιτρέπει στους εγκληματίες να αποκτήσουν μια τεράστια υποδομή που μπορούν να τη χρησιμοποιήσουν για να φιλοξενήσουν και να ξεκινήσουν άλλες επιθέσεις στον κυβερνοχώρο.
Οι servers με e-commerce or PoS λογισμικό εγκαθιστούν τα πιο hot αντικείμενα, επιτρέποντας στους εγκληματίες να ενοικιάσουν το διακομιστή, να αποκτήσουν πρόσβαση σε αυτόν και να αναπτύξουν stealers πιστωτικών καρτών ή POS malware.
Οι περισσότεροι από αυτούς τους διακομιστές βρέθηκαν εκτεθειμένοι μέσω brute-force επιθέσεων, αφότου αφέθηκαν ανοιχτές ports σε ευαίσθητες υπηρεσίες, όπως τα RDP.
Μετά τη διερεύνηση της υπηρεσίας και μερικών από τους hacked servers, οι ειδικοί της Kaspersky ισχυρίζονται ότι οι hackers έχουν εκθέσει σε κίνδυνο έναν μεγάλο αριθμό από αυτούς τους διακομιστές χρησιμοποιώντας το κακόβουλο λογισμικό SCCLIENT.
Η εταιρεία προσθέτει ότι οι xDedic πωλητές Narko, xLeon ή sirr μπορεί να βρίσκονται πίσω από το κακόβουλο λογισμικό SCCLIENT. Αυτοί οι πωλητές βγήκαν τρίτοι, τέταρτοι και πέμπτοι στην κατάταξη των top seller της xDedic για το Μάιο 2016.
Η Kaspersky λέει ότι κατάφερε να «ρίξει» πέντε από τους οκτώ C&C servers που χρησιμοποιούνται από το SCCLIENT κακόβουλο λογισμικό και ότι ανακάλυψε πάνω από 3.600 μολυσμένους hosts μόνο μέσα στις πρώτες δώδεκα ώρες.
Η εταιρεία ασφαλείας, επίσης, εξηγεί ότι συνεργάστηκε με μια ευρωπαϊκή ISP, προκειμένου να συλλέξει δεδομένα σχετικά με την xDedic υπηρεσία, που τώρα έχουν διαβιβαστεί στις αρμόδιες αρχές επιβολής νόμου.
