Cybersecurity-specialist Kaspersky waarschuwt voor een wereldwijde marktplaats waar voor enkele dollars toegang wordt geboden tot één van de 70.624 gehackte Remote Desktop Protocol (RDP)-servers. Op die site worden 736 Nederlandse servers aangeboden.
Op de online marktplaats met de naam xDedic kunnen geïnteresseerden vanaf zes dollar toegang kopen tot gecompromitteerde servers. Kaspersky onderzocht het netwerk nadat een Europese isp het securitybedrijf op de marktplaats attendeerde. ‘Veel van de servers hosten of bieden toegang tot populaire consumentenwebsites en -diensten. Sommige hebben software geïnstalleerd voor direct mail, boekhouden en point-of-sale (PoS) verwerking’, licht Kaspersky toe.
De eigenaren van de marktplaats zijn vermoedelijk Russisch. Er wordt in ieder geval in het Russisch gecommuniceerd. Volgens de beveiliger worden de servers gebruikt om de infrastructuren van de gebruikers aan te vallen. ‘Ook worden ze ingezet als lanceerplatform voor bredere aanvallen, terwijl de eigenaren geen idee hebben wat er gebeurt’, aldus Kaspersky.
Volgens de beveiliger is xDedic een krachtig voorbeeld van een nieuw type marktplaats voor cybercriminelen: ‘Het is goed georganiseerd en ondersteund. Het biedt iedereen, van beginnende cybercriminelen tot APT-groepen, snelle, goedkope en gemakkelijke toegang tot legitieme organisatie-infrastructuur. Zo kunnen zij hun misdaden zo lang mogelijk onder de radar houden.’
Browse-geschiedenis
Over de werkwijze deelt Kasperky: ‘Hackers breken in op servers, vaak via brute-force aanvallen, en zetten de referenties op xDedic. De gehackte servers worden vervolgens gecontroleerd op hun RDP-configuratie, geheugen, software, browse-geschiedenis en meer. Allemaal functies die klanten kunnen doorzoeken voordat ze tot aankoop overgaan. Hierna worden ze toegevoegd aan een groeiende online inventaris.’
Volgens Kaspersky bestaat dat aanbod uit: servers van overheidsnetwerken, ondernemingen en universiteiten. Servers die zijn getagt voor het hebben van toegang tot of het hosten van bepaalde websites en diensten, waaronder games, goksites, dating, online winkelen, online bankieren en betalingen, mobiele telefoonnetwerken, isp’s en browsers. En er zitten servers tussen met vooraf geïnstalleerde software die kan worden gebruikt om een aanval te faciliteren, waaronder direct mail, financiële en PoS-software. Naast de toegang tot de servers wordt er op de marktplaats een scala aan hack- en systeeminformatie-tools aangeboden.
Kaspersky: ‘Voor bedragen vanaf zes dollar per server, kunnen leden van het xDedic forum toegang krijgen tot alle servergegevens en deze ook gebruiken als platform voor verdere kwaadaardige aanvallen. Dit kan mogelijk ook gerichte aanvallen, malware, DDoS, phishing, social-engineering en adware-aanvallen omvatten. De rechtmatige eigenaren van de servers, gerenommeerde organisaties waaronder overheidsnetwerken, ondernemingen en universiteiten, zijn zich vaak niet bewust van de inbreuk op hun it-infrastructuur. Zodra een campagne is afgerond, kunnen de aanvallers verder toegang tot de server back-up te koop aanbieden, waarna het hele proces opnieuw kan beginnen.’
Top-10 getroffen landen
Volgens het securitybedrijf is de xDedic marktplaats ergens in 2014 van start gegaan en is het sinds halverwege 2015 aanzienlijk gegroeid in populariteit. ‘In mei 2016 stonden er 70.624 servers uit 173 landen te koop, geplaatst uit naam van 416 verschillende verkopers.
De top 10 getroffen landen zijn: Brazilië, China, Rusland, India, Spanje, Italië, Frankrijk, Australië, Zuid-Afrika en Maleisië. Nederland neemt de 32e positie in met 736 servers op de lijst. In België gaat het om 419 aangeboden servers.’
Een gedegen reactie die de ogen van IT professionals en MMT zou moeten openen. Het is nu eenmaal een gegeven dat dit soort praktijken plaats nemen waarbij IT professionals acht moeten blijven staan op dit soort ontwikkelingen.
Goed stuk!
Hacken in de cloud?
Mooi hé die ‘innovatie’.
@ Johan,
Alhoewel ik zeer voorzichtig ben met nieuwe ‘wegen’ in en met IT ICT, kom ik cloud niet tegen hier.
Saillant blijft het.
René Civile,
Internet = cloud
Maar bekijk het ook eens van de andere kant, zolang bestuurders zich meer druk maken om de ‘Panama-papers’ dan de ‘Snowden-files’ dan levert dit digitale analfabetisme de vierde macht ook de nodige informatie op:
https://guccifer2.wordpress.com/2016/06/15/dnc/
@WRM: leuke link! vele malen interessanter dan wat de NPO ons te bieden heeft.
Ach weer een reden om de server op de werkvloer te plaatsen… het gaat niet anders de afgelopen jaren….. naar binnen en weer naar buiten….. Alleen als de cloud ontploft en je data staat elders tsja ga is rekenen uur x tarief dat de mensen stil zitten!
Waar ik nou zo benieuwd naar ben:
Hoeveel servers van bijvoorbeeld AMAZON AWS zijn erbij?
Hoeveel servers van Google Apps zijn erbij?
Hoeveel servers van Exact?
En .. om wat voor type servers gaat het?
Ik heb namelijk zo’n donkerbruin vermoeden, dat het NIET gaat om servers van genoemde partijen. Ik denk, dat die hun zaakjes wel goed voor elkaar hebben. Ze kunnen het zich gewoon ook niet veroorloven.
Ik vraag mij ook af, waarom er geen onderscheid wordt gemaakt tussen ISO 27001 of vergelijkbaar gecertificeerde servers en de rest.
Willem Massier,
Denk dat genoemde aantal servers weleens groter kan zijn aangezien patch management uiteindelijk gewoon een vorm van risico management is. Of ISO27001 hier daadwerkelijk een verzekeringspolis biedt betwijfel ik:
http://news.softpedia.com/news/Reward-Offered-for-Developing-Windows-RDP-Exploit-258713.shtml