Исследование

xDedic: теневой рынок взломанных серверов

 PDF-версия отчета

Вот уже два года на самом дне интернета расцветает необычный вид черного рынка.

Его краткое, загадочное название, вероятно, мало о чем скажет – xDedic. Между тем, на этой безвестной рыночной площадке любой может приобрести более 70 000 взломанных серверов со всего интернета.

xDedic: теневой рынок взломанных серверов

Страница авторизации форума xDedic

От сетей госструктур до корпораций, от веб-серверов до баз данных – xDedic предоставляет рыночную площадку, на которой покупатели могут найти всё, и, что немаловажно, задёшево! Сервер расположен в правительственной сети государства, которое входит в Европейский Союз, а доступ к нему может стоить всего 6 долларов.

Заплатив за доступ один раз, покупатель получает доступ ко всем данным на сервере, а также возможность использовать этот доступ для проведения будущих атак. По сути это мечта хакера: простой, дешёвый и быстрый доступ к жертвам, открывающий новые возможности и для простых киберпреступников, и для тех, кто в киберпреступном мире занимает более серьезное место.

xDedic: теневой рынок взломанных серверов

Форум, где продают взломанные серверы

Чтобы исследовать xDedic, «Лаборатория Касперского» договорилась о сотрудничестве с европейским интернет-провайдером. Исследование позволило нам собрать данные о жертвах и о порядке работы рыночной площадки.

В мае 2016 г. мы насчитали на площадке 70 624 серверов, выставленных на продажу, от 416 разных продавцов из 173 стран. В марте 2016 г. было выставлено около 55 000 серверов – очевидно, что база пользователей и серверов аккуратно поддерживается и обновляется.

xDedic: теневой рынок взломанных серверов

Страны, где расположены серверы, выставленные на продажу

Интересно, что сами разработчики xDedic ничего не продают. Вместо этого они создали рыночную площадку, где их многочисленные компаньоны могут продавать доступ к взломанным серверам. Очень похоже на то, что команда xDedic создала качественный сервис: на форуме есть даже оперативная техническая поддержка, доступны специальные инструменты, чтобы «патчить» взломанные серверы и разрешить одновременно несколько RDP-сессий, а также инструменты для сбора информации о взломанных серверах и ее загрузки в базу данных xDedic.

xDedic: теневой рынок взломанных серверов

TOP-10 продавцов. Май 2016

Так кем же являются указанные выше продавцы на xDedic? Нам удалось идентифицировать характерный фрагмент вредоносного кода (SCCLIENT), используемый одним из продавцов; также нам удалось провести синкхолинг командных серверов этого зловреда. Таким образом мы смогли бегло взглянуть на активность одного из этих действующих лиц – судя по числу жертв, это, скорее всего, Narko, xLeon или sirr.

xDedic: теневой рынок взломанных серверов

Троянец SCCLIENT: информация о жертвах за первые 12 часов синкхолинга

Созданная разработчиками xDedic программа для сбора данных о зараженных серверах, кроме прочего, собирает информацию о ПО, установленном на сервере, таких как азартные игры, программы трейдинга и осуществление платежей.

Судя по всему, велик интерес к ПО, связанному с бухучетом, налоговой отчётностью и ПО для PoS-терминалов, которое открывает большие возможности для мошенников:

Инструменты для рассылки спама и осуществления атак Азартные игры и финансовое ПО ПО для PoS-терминалов
Advanced Mass Sender
Bitvise Tunnelier
DU Brute
LexisNexis Spam Soft
LexisNexis Proxifier
Proxifier
Spam Soft
Full Tilt Poker
iPoker Network
UltraTax 2010 (2011,..,2015)
Abacus Tax Software
CCH tax14 (tax15)
CCH Small Firm Services
ChoicePoint
ProSeries TAX (2014,2015)
ProSystem fx Tax
TAX Software
2015 Tax Praparation
Tax Management Inc.
Lacerte Tax
PosWindows
BrasilPOS
POS AccuPOS
POS Active-Charge
POS Amigo
POS Catapult
POS Firefly
POS ePOS
POS EasiPos
POS Revel
POS Software (Generic)
POS Toast
POS QBPOS
PosTerminal
POS kiosk.exe
POS roi.exe
POS PTService.exe
POS pxpp.exe
POS w3wp.exe
POS DpsEftX.ocx
POS AxUpdatePortal.exe
POS callerIdserver.exe
POS PURCHASE.exe
POS XPS.exe
POS XChgrSrv.exe

Во время исследования мы насчитали 453 сервера из 67 стран, на которых было установлено ПО для PoS-терминалов:

xDedic: теневой рынок взломанных серверов

Число выставленных на продажу серверов с ПО для PoS-терминалов. Май 2016 г.

Злоумышленник может, например, прийти на форум xDedic, завести учётную запись, запастись биткойнами и приобрести несколько серверов, на которых установлено ПО для PoS-терминалов. После этого он может установить вредоносную программу для PoS-терминалов – такую как Backoff – чтобы собирать номера банковских карт. Возможности просто безграничные.

«Лаборатория Касперского» сообщила о проблеме соответствующим правоохранительным органам и участвует в текущем расследовании.

Наш полный доклад об xDedic с указаниями индикаторов заражения доступен в PDF-файле по ссылке.

* Для получения более подробной информации о сервисах Security Intelligence «Лаборатории Касперского», специализированных аналитических отчётах и отчётах об угрозах пишите на intelreports@kaspersky.com

xDedic: теневой рынок взломанных серверов

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Alexander Klein

    Здраствуйте,

    спасибо за работу и инфу.

    Вы бы не могли предоставить сервис для проверки своего сервера на наличие айпи адреса на этой платформе?

    Спасибо

  2. Игорь Оськин

    В конце английской версии этой статьи есть ссылка на csv файл с IP.

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике