Über die xDedic-Plattform werden Zugänge zu über 70.000 Servern aus 173 Ländern gehandelt

 

Moskau/lngolstadt, 15. Juni 2016 - Kaspersky Lab hat ein internationales Forum entdeckt, über das Cyberkriminelle den Zugriff auf kompromittierte Server für nur sechs US-Dollar kaufen und verkaufen [1]. Der Untergrundmarktplatz xDedic wird mutmaßlich von einer Russisch-sprachigen Gruppe betrieben und umfasst derzeit mehr als 70.000 gehackte Server weltweit mit Remote Desktop Protocol (RDP). Viele der Server hosten oder bieten Zugang zu beliebten Webseiten und Diensten.

Auf einigen findet sich Software für E-Mail-Versand, Finanzbuchhaltung oder Bezahlvorgänge. Unter den ahnungslosen rechtmäßigen Inhabern der Server befinden sich auch staatliche Organisationen, Unternehmen und Universitäten. Mit Hilfe von xDedic nutzen Cyberkriminelle deren IT-Infrastruktur unbemerkt für eigene Attacken [2].

 

Die Plattform xDedic ist ein sehr gutes Beispiel für die vielen neuen Dienstleistungen im Bereich Cyberkriminalität. Der Marktplatz ist gut organisiert und bietet einen schnellen, billigen, einfachen und heimlichen Zugang, der von cyberkriminellen Anfängern ebenso wie von erfahrenen APT-Gruppen genutzt wird. Für nur sechs Dollar pro Server bietet xDedic den Forumsmitgliedern Zugriff auf alle Serverdaten und ermöglicht darüber hinaus die Nutzung für weitere Cyberangriffe wie zielgerichtete Attacken, die Verbreitung von Malware, Distributed Denial of Services (DDoS), Phishing, Social Engineering oder Adware-Attacken.

 

Kaspersky Lab wurde von einem europäischen Internet Service Provider

(ISP) auf xDedic aufmerksam gemacht. Beide Unternehmen haben dann gemeinsam das ebenso einfache wie gründliche Vorgehen der Plattform unter die Lupe genommen. Demnach liefern Hacker Server-Zugangsdaten an xDedic, die sie oftmals mit Hilfe von Brute-Force-Angriffen erlangen konnten. Die Server werden dann unter anderem in Hinblick auf ihre RDP-Konfiguration, Speicherkapazität, installierte Software und den Browserverlauf geprüft und schließlich in das stetig wachsende Online-Verzeichnis von xDedic aufgenommen. So können Kunden vor dem Kauf eines Accounts den für ihre Zwecke passenden Server auswählen. Die Server:

• werden von Regierungseinrichtungen, Unternehmen oder Universitäten

betrieben,

• haben Zugriff auf oder hosten selbst Webseiten und Dienste aus den

Bereichen Games, Wetten, Partnersuche, Online-Shopping, Online-Banking, Bezahlsysteme, Mobilfunknetze, ISP und Browser,

• besitzen vorinstallierte Software für E-Mail-Versand,

Finanzbuchhaltung oder Bezahlvorgänge (PoS, Point of Sale), die für cyberkriminelle Angriffe dienlich ist,

• und werden von etlichen Tools für Hacking und Systeminformation

unterstützt.

 

Vermutlich trat die xDedic-Plattform bereits im Jahr 2014 auf den Markt.

Seit 2015 erfreut sie sich immer größerer Beliebtheit, so dass dort aktuell (Stand Mai 2016) 416 unbekannte Anbieter den Zugriff auf 70.624 Server aus 173 Ländern anbieten. Die Liste der Länder wird angeführt von Brasilien, China, Russland, Indien, Spanien, Italien, Frankreich, Australien, Südafrika und Malaysia.

 

„xDedic ist ein weiterer Beleg dafür, dass Cybercrime-as-a-Service-Modelle expandieren" sagt Costin Raiu, Director Global Research and Analysis Team (GReAT) bei Kaspersky Lab. „Damit hat jeder - vom Anfänger über ambitionierte Cyberkriminelle bis zu nationalstaatlich unterstützen Angreifern - eine kostengünstige, schnelle und effektive Möglichkeit, potenziell verheerende Cyberangriffe durchzuführen. Opfer sind dabei nicht nur die attackierten Einzelpersonen und Organisationen, sondern auch die Betreiber der für die Angriffe genutzten Server. Sie haben vermutlich keine Ahnung, dass die Server direkt vor ihrer Nase immer wieder für verschiedene Cyberangriffe missbraucht werden."

 

Kaspersky Lab rät zu Sicherheitsvorkehrungen

 

Kaspersky Lab rät allen Betreibern von Servern,

• wirksame Sicherheitslösungen [2] zu installieren und so einen

umfassenden und mehrschichtigen Schutz der kompletten IT-Infrastruktur zu etablieren,

• starke Passwörter für die Authentifizierung des Zugriffs auf die

Server zu nutzen,

• einen permanenten Patch-Management-Prozess zu implementieren,
• regelmäßige Sicherheitsüberprüfungen der IT-Infrastruktur

durchzuführen,

• und in ein Frühwarnsystem zu investieren, das drohende Gefahren

erkennt und Einblicke in die kriminellen Aktivitäten bietet, um das jeweilige Risiko richtig einschätzen zu können.

 

 

[1]

https://de.securelist.com/featured/71579/xdedic-the-shady-world-of-hacked-servers-for-sale/

[2]

http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Images/Corporate/xDedic.png

[3] http://www.kaspersky.com/de/enterprise-security

 

 

Quelle