Hackers bieden 736 Nederlandse servers aan

Cybersecurity-specialist Kaspersky waarschuwt voor een wereldwijde marktplaats waar voor enkele dollars toegang wordt geboden tot één van de 70.624 gehackte Remote Desktop Protocol (RDP)-servers. Op die site worden 736 Nederlandse servers aangeboden.

Op de online marktplaats met de naam xDedic kunnen geïnteresseerden vanaf zes dollar toegang kopen tot gecompromitteerde servers. Kaspersky onderzocht het netwerk nadat een Europese isp het securitybedrijf op de marktplaats attendeerde. ‘Veel van de servers hosten of bieden toegang tot populaire consumentenwebsites en -diensten. Sommige hebben software geïnstalleerd voor direct mail, boekhouden en point-of-sale (PoS) verwerking’, licht Kaspersky toe.

De eigenaren van de marktplaats zijn vermoedelijk Russisch. Er wordt in ieder geval in het Russisch gecommuniceerd. Volgens de beveiliger worden de servers gebruikt om de infrastructuren van de gebruikers aan te vallen. ‘Ook worden ze ingezet als lanceerplatform voor bredere aanvallen, terwijl de eigenaren geen idee hebben wat er gebeurt’, aldus Kaspersky.

Volgens de beveiliger is xDedic een krachtig voorbeeld van een nieuw type marktplaats voor cybercriminelen: ‘Het is goed georganiseerd en ondersteund. Het biedt iedereen, van beginnende cybercriminelen tot APT-groepen, snelle, goedkope en gemakkelijke toegang tot legitieme organisatie-infrastructuur. Zo kunnen zij hun misdaden zo lang mogelijk onder de radar houden.’

Browse-geschiedenis

Over de werkwijze deelt Kasperky: ‘Hackers breken in op servers, vaak via brute-force aanvallen, en zetten de referenties op xDedic. De gehackte servers worden vervolgens gecontroleerd op hun RDP-configuratie, geheugen, software, browse-geschiedenis en meer. Allemaal functies die klanten kunnen doorzoeken voordat ze tot aankoop overgaan. Hierna worden ze toegevoegd aan een groeiende online inventaris.’

Volgens Kaspersky bestaat dat aanbod uit: servers van overheidsnetwerken, ondernemingen en universiteiten. Servers die zijn getagt voor het hebben van toegang tot of het hosten van bepaalde websites en diensten, waaronder games, goksites, dating, online winkelen, online bankieren en betalingen, mobiele telefoonnetwerken, isp’s en browsers. En er zitten servers tussen met vooraf geïnstalleerde software die kan worden gebruikt om een aanval te faciliteren, waaronder direct mail, financiële en PoS-software. Naast de toegang tot de servers wordt er op de marktplaats een scala aan hack- en systeeminformatie-tools aangeboden.

Kaspersky: ‘Voor bedragen vanaf zes dollar per server, kunnen leden van het xDedic forum toegang krijgen tot alle servergegevens en deze ook gebruiken als platform voor verdere kwaadaardige aanvallen. Dit kan mogelijk ook gerichte aanvallen, malware, DDoS, phishing, social-engineering en adware-aanvallen omvatten. De rechtmatige eigenaren van de servers, gerenommeerde organisaties waaronder overheidsnetwerken, ondernemingen en universiteiten, zijn zich vaak niet bewust van de inbreuk op hun it-infrastructuur. Zodra een campagne is afgerond, kunnen de aanvallers verder toegang tot de server back-up te koop aanbieden, waarna het hele proces opnieuw kan beginnen.’

Top-10 getroffen landen

Volgens het securitybedrijf is de xDedic marktplaats ergens in 2014 van start gegaan en is het sinds halverwege 2015 aanzienlijk gegroeid in populariteit. ‘In mei 2016 stonden er 70.624 servers uit 173 landen te koop, geplaatst uit naam van 416 verschillende verkopers.

De top 10 getroffen landen zijn: Brazilië, China, Rusland, India, Spanje, Italië, Frankrijk, Australië, Zuid-Afrika en Maleisië. Nederland neemt de 32e positie in met 736 servers op de lijst. In België gaat het om 419 aangeboden servers.’