Uit een mondiaal onderzoek van Kapersky Lab, het wereldwijde securitybedrijf, blijkt dat er heel wat gehackte servers in bedrijf zijn. In België zou het om maar liefst 419 stuks gaan.
Op een mondiaal forum kunnen cybercriminelen toegang tot gecompromitteerde servers kopen en verkopen voor bedragen vanaf slechts zes dollar per stuk. Op de xDedic-markt, die lijkt te worden geleid door een Russischtalige groep, staan momenteel 70.624 gehackte remote desktop protocol (rdp)-servers te koop. Veel van de servers hosten of bieden toegang tot populaire consumentenwebsites en -diensten. Sommige hebben software geïnstalleerd voor direct mail, boekhouden en point of sale (pos)-verwerking. Ze kunnen worden gebruikt om de infrastructuren van de gebruikers aan te vallen. Of als lanceerplatform voor bredere aanvallen, terwijl de eigenaren geen idee hebben wat er gebeurt.
xDedic is een krachtig voorbeeld van een nieuw type marktplaats voor cybercriminelen: goed georganiseerd en ondersteund. Het biedt iedereen, van beginnende cybercriminelen tot apt-groepen, snelle, goedkope en gemakkelijke toegang tot legitieme organisatie-infrastructuur. Zo kunnen zij hun misdaden zo lang mogelijk onder de radar houden.
Browse-geschiedenis
Over de werkwijze deelt Kasperky: ‘Hackers breken in op servers, vaak via brute-force aanvallen, en zetten de referenties op xDedic. De gehackte servers worden vervolgens gecontroleerd op hun rdp-configuratie, geheugen, software, browse-geschiedenis en meer. Allemaal functies die klanten kunnen doorzoeken voordat ze tot aankoop overgaan. Hierna worden ze toegevoegd aan een groeiende online inventaris.’
Volgens Kaspersky bestaat dat aanbod uit: servers van overheidsnetwerken, ondernemingen en universiteiten. Servers die zijn getagt voor het hebben van toegang tot of het hosten van bepaalde websites en diensten, waaronder games, goksites, dating, online winkelen, online bankieren en betalingen, mobiele telefoonnetwerken, isp’s en browsers. En er zitten servers tussen met vooraf geïnstalleerde software die kan worden gebruikt om een aanval te faciliteren, waaronder direct mail, financiële en pos-software. Naast de toegang tot de servers wordt er op de marktplaats een scala aan hack- en systeeminformatie-tools aangeboden.
Kaspersky: ‘Voor bedragen vanaf zes dollar per server, kunnen leden van het xDedic forum toegang krijgen tot alle servergegevens en deze ook gebruiken als platform voor verdere kwaadaardige aanvallen. Dit kan mogelijk ook gerichte aanvallen, malware, DDoS, phishing, social-engineering en adware-aanvallen omvatten. De rechtmatige eigenaren van de servers, gerenommeerde organisaties waaronder overheidsnetwerken, ondernemingen en universiteiten, zijn zich vaak niet bewust van de inbreuk op hun it-infrastructuur. Zodra een campagne is afgerond, kunnen de aanvallers verder toegang tot de server back-up te koop aanbieden, waarna het hele proces opnieuw kan beginnen.’
Top-10 getroffen landen
Volgens het securitybedrijf is de xDedic marktplaats ergens in 2014 van start gegaan en is het sinds halverwege 2015 aanzienlijk gegroeid in populariteit. ‘In mei 2016 stonden er 70.624 servers uit 173 landen te koop, geplaatst uit naam van 416 verschillende verkopers.
De top 10 getroffen landen zijn: Brazilië, China, Rusland, India, Spanje, Italië, Frankrijk, Australië, Zuid-Afrika en Maleisië. België neemt de veertigstee positie in met 419 servers op de lijst. In Nederland gaat het om 736 aangeboden servers.
Interessantl: Gaat dit over hetzelfde land dat slechts enkele tientallen meldingen van datalekken over een gans jaar?