卡巴斯基实验室6月15日宣布率先发现xDedic地下黑市——贩卖全球超过7万台被感染服务器权限,最低售价仅为6美元!根据目前掌握的数据显示,xDedic2014年开始营业,并在2015年中快速增长。到2016年5月,该黑市共有来自174个国家的70,624台服务器在售,由416名不同的销售商提供。其中,受影响最严重的十个国家分别为:巴西、中国、俄罗斯、印度、西班牙、意大利、法国、澳大利亚、南非和马来西亚。在大中华地区(中国大陆、台湾和香港),已有超过100家知名大型企业和ISP的服务器受到感染并在xDedic地下黑市出售,包括政府、运营商、电商、医院、房地产公司和学校等机构。
xDedic是一种典型的最新型网络罪犯黑市。这种黑市组织严密,为所有人提供多样化服务,从入门级别的网络罪犯到APT(高级可持续性威胁)组织都可获取到快捷、廉价及易于使用的合法机构基础设施的访问权限,令网络犯罪行为更隐蔽,潜伏很长时间。卡巴斯基实验室安全专家近期调查了这个专供网络罪犯购买和贩卖被感染服务器访问权限的全球性论坛。该地下论坛似乎是由一个俄语网络犯罪组织经营,并声称只提供交易平台,同服务器销售者没有关联或合作关系。
目前共有70,624台被破解的远程桌面协议(RDP)服务器在售。其中,大量服务器被用于托管或访问常用的消费者网站和服务,有的还安装了相应软件用于处理广告邮件、金融会计和销售终端(PoS)等服务。网络罪犯不但可以利用这些服务器发动针对其所有者基础设施的攻击,还能作为跳板,发动范围更大的攻击。而绝大多数服务器的所有者,包括:政府机构、企业和大学等,对此还一无所知。
欧洲一家互联网服务提供商(ISP)告知了卡巴斯基实验室xDedic黑市的存在,双方合作针对这一地下论坛的运营方式展开了调查。结果显示,这个论坛的运营方式十分简单且周密:首先,黑客通过暴力破解方式入侵服务器,并将相关登陆凭证提交到xDedic。接下来,检查被入侵服务器的RDP配置、内存、软件和浏览历史等信息——客户在下单前均可查询上述信息。最后,将这些服务器添加到在线销售列表中,其中包括:
·政府、企业和大学的服务器
·能够访问或托管特定网站和服务的服务器,包括在线游戏、在线购物、在线银行和在线支付、约会服务、电话网络、赌博、ISP以及浏览器服务
·预装了相关软件,可用于攻击的服务器,包括广告邮件、金融和销售终端软件等
·均提供大量黑客工具和系统信息工具支持
这些被感染服务器的合法所有者都是权威机构,而且往往没有意识到自己的IT基础设施已被入侵。在入侵行动成功后,攻击者就可悄无声息的销售服务器的访问权限,启动整个业务流程的运转。网络罪犯最低仅需支付6美元就可在xDedic上购买一台服务器,访问该服务器的所有数据,或用其作为实施进一步攻击的平台,包括发动针对性攻击、恶意软件攻击、DDoS攻击、钓鱼攻击、社交工程攻击以及广告软件攻击等。
卡巴斯基实验室全球研究和分析团队总监Costin Raiu认为: “商业生态系统和交易平台的出现,进一步证实了网络犯罪服务的飞速扩张。这类服务让所有人——从初级恶意攻击者到政府资助的APT组织,都能通过廉价、快捷和有效的方式,轻松实施潜在危害巨大的攻击。受害者不仅是遭遇攻击的消费者和机构,还包括毫不知情的服务器所有者——就在自己的眼皮底下,他们的服务器已经被多次劫持用于实施不同的攻击”。
卡巴斯基实验室建议所有机构和企业:
·安装一款功能强大的专业安全解决方案,作为企业IT基础设施多层级保护的重要一环
·使用高强度密码进行服务器身份验证
·实施持续的补丁管理策略
·定期对IT基础设施进行安全审查
·慎重考虑投资和购买专家威胁情报服务,以便实时了解全球最新的威胁信息以及网络犯罪最新动态,帮助企业或组织评估自身的风险水平
·如需了解企业服务器是否已被感染,可与卡巴斯基安全专家联系进行安全审查和评估。
本文转自d1net(转载)