xDedic, l’oscuro mondo dei server hackerati messi in vendita

 Download PDF version

Nel corso di questi ultimi due anni, nei meandri più profondi e remoti di Internet è fiorito un particolare genere di mercato underground.

Il nome che lo identifica – xDedic – breve e criptico, non sembra rivelare molto, su di esso. In questo oscuro mercato, tuttavia, chiunque ha la possibilità di “acquistare” oltre 70.000 server hackerati, situati in ogni angolo della Rete.

xDedic, l'oscuro mondo dei server hackerati messi in vendita

Pagina di login del forum xDedic

Dalle reti pubbliche ai network aziendali, dai server web ai database: xDedic mette a disposizione un vero e proprio mercato online, dove gli acquirenti possono trovare di tutto. E la cosa “migliore”, poi, è che tutto quanto costa davvero poco! Ad esempio, acquistare l’accesso ad un server che si trova all’interno di una rete pubblica, in un paese dell’Unione Europea, può addirittura costare non più di 6 dollari USD.

La somma richiesta, a dir poco modica, può fornire ad un buyer malintenzionato sia l’opportunità di accedere a tutti i dati contenuti nel server, sia la possibilità di utilizzare tale accesso per lanciare ulteriori attacchi. È davvero il sogno di ogni hacker, quello di semplificare al massimo l’accesso ai computer-vittima, rendere lo stesso più veloce e meno costoso, ed aprire nuove possibilità sia per i cybercriminali che per gli eventuali attori APT.

xDedic, l'oscuro mondo dei server hackerati messi in vendita

Pagina del forum dedicata all’acquisto di un server

Per investigare su xDedic, Kaspersky Lab ha collaborato con un ISP europeo. L’indagine condotta ci ha permesso di raccogliere dati sulle vittime e sul modo in cui opera tale mercato.

Nel mese di maggio 2016, abbiamo contato, complessivamente, 70.624 server disponibili per l’acquisto, messi a disposizione da 416 venditori unici, in 173 diversi paesi. Nel mese di marzo 2016, invece, il numero dei server messi in vendita era di circa 55.000 unità, una chiara indicazione del fatto che il database degli utenti e dei server viene accuratamente mantenuto ed aggiornato.

xDedic, l'oscuro mondo dei server hackerati messi in vendita

Top-10 dei paesi con server in vendita

È di particolare interesse il fatto che gli sviluppatori di xDedic, di per se stessi, non vendono nulla; essi hanno “soltanto” creato un mercato online in cui un network di affiliati può di fatto vendere l’accesso a server compromessi. A dire la verità, coloro che tengono le fila di xDedic hanno creato quello che sembra essere un servizio di “qualità”; il forum include persino il supporto tecnico live, così come speciali strumenti per patchare i server hackerati – per consentire sessioni RDP multiple – ed appositi tool di profilazione, adibiti a caricare sul database di xDedic informazioni sui server compromessi.

xDedic, l'oscuro mondo dei server hackerati messi in vendita

Top-10 dei principali seller – Maggio 2016

Ma chi sono i venditori xDedic qui sopra elencati? Siamo stati in grado di identificare un malware molto particolare (SCCLIENT), utilizzato da uno di essi, e siamo poi riusciti ad effettuare il sinkholing del relativo C&C. Questo ci ha offerto la possibilità di dare uno sguardo alle operazioni condotte da una di queste entità, che, in base al numero di vittime riscontrato, sospettiamo possa essere Narko, xLeon o sirr.

xDedic, l'oscuro mondo dei server hackerati messi in vendita

Trojan SCCLIENT: informazioni sulle vittime, ottenute grazie al sinkholing (nelle prime 12 ore)

Il software di profilazione creato dagli sviluppatori di xDedic raccoglie ugualmente informazioni riguardo al software installato nel server, relativo, ad esempio, al gioco d’azzardo online, al trading o alle operazioni di pagamento.

A quanto pare, si registra un forte interesse nei confronti del software utilizzato nell’ambito dei servizi contabili, del reporting fiscale e dei sistemi PoS (Point-of-Sale, “punto di vendita”), il quale, ovviamente, può aprire numerose opportunità, per i truffatori:

Spam e Strumenti di Attacco Software Gioco d’azzardo
e Finanziario
Software PoS
Advanced Mass Sender
Bitvise Tunnelier
DU Brute
LexisNexis Spam Soft
LexisNexis Proxifier
Proxifier
Spam Soft
Full Tilt Poker
iPoker Network
UltraTax 2010 (2011,..,2015)
Abacus Tax Software
CCH tax14 (tax15)
CCH Small Firm Services
ChoicePoint
ProSeries TAX (2014,2015)
ProSystem fx Tax
TAX Software
2015 Tax Praparation
Tax Management Inc.
Lacerte Tax
PosWindows
BrasilPOS
POS AccuPOS
POS Active-Charge
POS Amigo
POS Catapult
POS Firefly
POS ePOS
POS EasiPos
POS Revel
POS Software (Generic)
POS Toast
POS QBPOS
PosTerminal
POS kiosk.exe
POS roi.exe
POS PTService.exe
POS pxpp.exe
POS w3wp.exe
POS DpsEftX.ocx
POS AxUpdatePortal.exe
POS callerIdserver.exe
POS PURCHASE.exe
POS XPS.exe
POS XChgrSrv.exe

Durante la nostra ricerca, abbiamo contato ben 453 server, ubicati in 67 paesi, con installato software PoS.

xDedic, l'oscuro mondo dei server hackerati messi in vendita

I server in vendita provvisti di software Point-of-Sale – Maggio 2016

Un malintenzionato, ad esempio, potrebbe recarsi sul forum xDedic, registrare un account, rifornire lo stesso di bitcoin e poi acquistare un certo numero di server dotati di software PoS, installato al loro interno. In seguito, il malfattore può installare un malware PoS, quale, ad esempio, Backoff, per raccogliere i numeri delle carte di credito. Le possibilità sono davvero infinite.

Kaspersky Lab ha già segnalato il problema esistente alle forze dell’ordine competenti in materia, e sta attivamente collaborando all’indagine attualmente in corso.

Per leggere l’intero report da noi stilato riguardo a xDedic, comprendente i relativi IOC, si prega di scaricare, al seguente link, il PDF “xDedic Marketplace Analysis”.

* Per maggiori informazioni su Kaspersky Lab Intelligence Services, Threat Reports and custom threat analysis contattare intelreports@kaspersky.com

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *