Cyber-Schwarzmarkt für gehackte Server entdeckt

Laut KASPERSKY lab werden über „xDedic“ Zugänge zu über 70.000 Servern aus 173 Ländern gehandelt

[datensicherheit.de, 15.06.2016] Nach aktuellen Erkenntnissen von KASPERSKY lab exitiert ein internationales Forum, über das Cyber-Kriminelle den Zugriff auf kompromittierte Server für nur sechs US-Dollar kaufen und verkaufen. Der Untergrundmarktplatz „xDedic“ werde mutmaßlich von einer russischsprachigen Gruppe betrieben und umfasse derzeit mehr als 70.000 gehackte Server weltweit mit Remote Desktop Protocol (RDP).

Staatliche Organisationen, Unternehmen und Universitäten im Fokus

Viele der betroffenen Server hosten oder bieten demnach Zugang zu beliebten Webseiten und Diensten. Auf einigen finde sich Software für E-Mail-Versand, Finanzbuchhaltung oder Bezahlvorgänge.
Unter den ahnungslosen rechtmäßigen Inhabern der Server befänden sich auch staatliche Organisationen, Unternehmen und Universitäten. Mit Hilfe von „xDedic“ nutzten Cyber-Kriminelle deren IT-Infrastruktur unbemerkt für eigene Attacken.

Viele neue Dienstleistungen im Bereich Cyber-Kriminalität

Die Plattform „xDedic“ ist laut KASPERSKY lab ein „sehr gutes Beispiel“ für die vielen neuen Dienstleistungen im Bereich Cyber-Kriminalität. Der Marktplatz sei gut organisiert und biete einen schnellen, billigen, einfachen und heimlichen Zugang, der von Anfängern ebenso wie von erfahrenen APT-Gruppen (APT: Advanced Persistent Threat) genutzt werde.
Für nur sechs US-Dollar pro Server biete „xDedic“ den Forumsmitgliedern Zugriff auf alle Serverdaten und ermögliche darüber hinaus die Nutzung für weitere Cyber-Angriffe wie zielgerichtete Attacken, die Verbreitung von Malware, Distributed Denial of Services (DDoS), Phishing, Social Engineering oder Adware-Attacken.

Hinweis eines Internet-Service-Providers

Nach eigenen Angaben wurde KASPERSKY lab von einem europäischen Internet-Service-Provider (ISP) auf „xDedic“ aufmerksam gemacht. Beide Unternehmen hätten dann gemeinsam das ebenso einfache wie gründliche Vorgehen der Plattform unter die Lupe genommen: Nach ihren Erkenntnissen liefern Hacker Server-Zugangsdaten an „xDedic“, die sie oftmals mit Hilfe von Brute-Force-Angriffen erlangen konnten. Die Server würden dann unter anderem in Hinblick auf ihre RDP-Konfiguration, Speicherkapazität, installierte Software und den Browserverlauf geprüft und schließlich in das stetig wachsende Online-Verzeichnis von „xDedic“ aufgenommen. So könnten Kunden vor dem Kauf eines Accounts den für ihre Zwecke passenden Server auswählen.
Die Server würden von Regierungseinrichtungen, Unternehmen oder Universitäten betrieben, hätten Zugriff auf oder hosteten selbst Webseiten und Dienste aus den Bereichen Games, Wetten, Partnersuche, Online-Shopping, Online-Banking, Bezahlsysteme, Mobilfunknetze, ISP und Browser. Ferner besäßen diese vorinstallierte Software für E-Mail-Versand, Finanzbuchhaltung oder Bezahlvorgänge (PoS, Point of Sale), die für cyber-kriminelle Angriffe dienlich sei; zudem würden sie von etlichen Tools für Hacking und Systeminformation unterstützt.

Seit 2014 aktiv

Vermutlich sei die „xDedic“-Plattform bereits im Jahr 2014 am Markt aufgetreten. Seit 2015 erfreue sie sich immer größerer Beliebtheit, so dass dort aktuell (Stand Mai 2016) 416 unbekannte Anbieter den Zugriff auf 70.624 Server aus 173 Ländern anböten. Die Liste der Länder werde angeführt von Brasilien, China, Russland, Indien, Spanien, Italien, Frankreich, Australien, Südafrika und Malaysia.
„xDedic“ sei ein weiterer Beleg dafür, dass „Cybercrime-as-a-Service“-Modelle expandierten, so Costin Raiu, „Director Global Research and Analysis Team“ (GReAT) bei KASPERSKY lab. Damit habe jeder – vom Anfänger über ambitionierte Cyber-Kriminelle bis zu nationalstaatlich unterstützen Angreifern – eine „kostengünstige, schnelle und effektive Möglichkeit, potenziell verheerende Cyberangriffe durchzuführen“. Opfer seien dabei nicht nur die attackierten Einzelpersonen und Organisationen, sondern auch die Betreiber der für die Angriffe genutzten Server, erklärt Raiu. Diese hätten vermutlich keine Ahnung, dass die Server „direkt vor ihrer Nase immer wieder für verschiedene Cyberangriffe missbraucht“ würden.

Empfohlene Sicherheitsvorkehrungen

KASPERSKY lab rät allen Betreibern von Servern, wirksame Sicherheitslösungen zu installieren und so einen umfassenden und mehrschichtigen Schutz der kompletten IT-Infrastruktur zu etablieren. Für die Authentifizierung des Zugriffs auf die Server sollten starke Passwörter genutzt werden. Geraten wird ebenso, einen „permanenten Patch-Management-Prozess“ zu implementieren sowie regelmäßige Sicherheitsüberprüfungen der IT-Infrastruktur durchzuführen. Ferner sollte in ein Frühwarnsystem investiert werden, das drohende Gefahren erkennt und Einblicke in die kriminellen Aktivitäten bietet, um das jeweilige Risiko richtig einschätzen zu können.

Weitere Informationen zum Thema:

SECURELIST, 15.06.2016
xDedic – das dubiose Geschäft mit gehackten Servern