venerdì 19 agosto 2016

Kaspersky Lab Scopre Un Market Di Server Hackerati: xDedic

Kaspersky Lab, 2 mesi fa ha individuato un marketplace russo chiamato xDedic in cui sarebbero stati messi in vendita 70.624 server infetti (compresi molti italiani).
Erano circa 50.000 a marzo 2016 (segno che il market è abbastanza aggiornato).
xDedic è una piattaforma davvero semplice da usare ed accessibile davvero a chiunque, dove tutti possono acquistare credenziali di accesso ad un server, ed al tempo stesso chiunque può rivendere tali accessi attraverso la piattaforma.
Server di siti web, università, siti governative, mail, aziende, servizi consumer, contabilità finanziaria e sistemi Point Of Sale (PoS).
Quest'ultimo in particolare molto pericolosi perchè con un semplice malware potrebbero essere raccolti migliaia di credenziali di accesso (carte di credito e quant'altro).
Questi sistemi sono tutti appartenenti ad organizzazioni grosse e con una “buona reputazione” online, ciò implica che muovendo un attacco da tali macchine è difficile essere individuati preventivamente. Compromesso il server ed acquistato da un malintenzionato, tali macchine possono essere usate per campagne spam, di phishing, attacchi mirati ad organizzazioni, DDoS, il tutto mentre i legittimi proprietari sono all’oscuro di quanto accade.
Inoltre si ha anche accesso ai vari database.
Tutto questo per un minimo di 6 dollari a server.


COME FUNZIONA XDEDIC
Gli admin di xDedic, tutto sommato, non vendono nulla:  essi hanno “soltanto” creato un mercato online in cui un network di affiliati può di fatto vendere l’accesso a server compromessi.
Il forum include persino il supporto tecnico live, così come speciali strumenti per patchare i server hackerati per consentire sessioni RDP multiple ed appositi tool di profilazione, adibiti a caricare sul database di xDedic informazioni sui server compromessi.
Una volta che un Hacker riesce a violare un server tramite falle o brute-force attack, può rivenderne le credenziali su xDedic.
Viene installato un Trojan ScClient controllato tramite dei “normali” server Command & Control. Kaspersky ne ha individuati 8.
Analizzando gli indirizzi IP che si sono collegati al server C&C, sono stati identificati migliaia di server compromessi, molti dei quali di proprietà di università ed enti statali.
Il Trojan utilizza comunicazioni criptate e le comunicazioni con i server RDP compromessi sono affidate a un pratico client software sviluppato dai creatori di xDedic.
In pratica, i clienti del market non devono destreggiarsi con righe di comando e terminali, ma possono utilizzare un’interfaccia grafica che gli permette di collegarsi al server e controllarlo.
Una delle particolarità del Trojan è anche quella di integrare un miner per Bitcoin.
Una trovata che permette ai pirati di guadagnare ulteriormente.
In attesa dell’acquirente, si sfrutta la potenza di calcolo dei server per raggranellare qualche dollaro.
Tali credenziali rubate, dopo un'attenta verifica, diventano quindi acquistabili da chiunque.
Server contrassegnati per avere accesso o ospitare alcuni siti e servizi, tra cui gaming, scommesse, dating, shopping online, banking e pagamenti, reti di telefonia mobile, ISP.
Secondo Sergey Lozhkin di Kaspersky Lab, la piattaforma xDedic è operativa dal 2014, ma solo nel 2015 ha raggiunto l’apice della popolarità.
Oggi circa 416 diversi venditori offrono accesso a server attraverso xDedic, analizzando la lista dei server è possibile scoprire che i 10 principali Paesi colpiti sono: Brasile, Cina, Russia, India, Spagna, Italia, Francia, Australia, Sud Africa e Malesia.
Le vittime finali non sono solo i clienti o le aziende in un attacco mirato, ma anche i proprietari dei server, ignari del fatto che i propri server siano stati compromessi ed utilizzati per scopi poco nobili.
Il consiglio è sempre quello di utilizzare password sicure nel processo di autenticazione del server, correggere eventuali bug tramite patch e stare attenti anche ad attacchi d'ingegneria sociale.

Nessun commento:

Posta un commento