E安全6月16日讯 卡巴斯基实验室对俄罗斯黑市进行大规模调查,结果发现xDedic黑市兜售超过7万台服务器的访问权限。 每个访问地下黑市的人可以售卖被感染计算机的访问权限,价格非常低,一台服务器的访问权限仅售6美元。 研究人员证实,xDedic地下黑市由俄语国家某个组织运营,目前兜售来自173个国家70,624个被感染的黑远程桌面协议(RDP)服务器。 xDedic是将犯罪服务场所,该网络犯罪市场组织严密,服务多样化,从入门级网络罪犯到APT(高级可持续性威胁)都可在此廉价快捷地获取合法组织基础设施的访问权限。 这些被感染的服务器为知名组织所有,包括国家网络、企业和大学,他们明显没有意识到自己的系统已被入侵。 在这方面,由于攻击者可以悄无声息地快速实施攻击,所以网络攻击很容易得手。 威胁实施者可以使用服务器管理网络钓鱼计划、针对性攻击或发起大范围攻击,包括恶意软件和DDoS攻击。密切关注这些受感染的服务器,不难发现其中许多提供知名消费者网站和服务的访问权限,一些情况下,他们运行邮件应用、财务会计和销售点(PoS)进程。 欧洲一家互联网服务提供商(ISP)告知卡巴斯基实验室xDedi黑市的存在后,卡巴斯基实验室立即对xDedic地下黑市展开调查。 一旦黑客通过暴力破解入侵服务器,他们可以在xDedic市场转售访问权限。 卡巴斯基发布官方声明表示,“这个过程简单周密:黑客通常通过暴力破解入侵服务器,并将登录凭证提交至xDedic。然后,检查被侵服务器的RDP配置、内存、软件、浏览历史等等—客户下单前均可查询。” 目前,xDedic黑市的销售列表内容庞大,包括:
xDedic地下黑市至少从2014年开始活跃,2015年中恶名远扬。 2016年5月,416个不同的卖家兜售系统访问权限,受影响最严重的国家有:巴西、中国、俄罗斯、印度、西班牙、意大利、法国、澳大利亚、南非和马来西亚。 SecureList发布博文称:“2016年5月,有416个卖家兜售来自173个被影响的国家的70,624个被感染服务器。2016年3月,这个数据大约为55,000,很明显用户和服务器数据库均做了维护和更新。” xDedic地下黑市背后的罪犯只提供交易平台,同卖家没有关联和合作关系。。 卡巴斯基实验室全球研究和信息团队总监Costin Raiu,称,“xDedic再次证实,网络犯罪服务正通过添加商业生态系统和交易平台快速扩张。这类服务使得网络犯罪轻而易举,从低技能的恶意软件攻击者到国家支持的APT均能通过廉价、快速有效的方式发起潜在致命攻击。最终受害者不仅是消费者或组织,也可能是服务器所有者:在眼皮底下,服务器被多次劫持用于实施不同的攻击,他们毫不知情。”组织机构必须慎重考虑基础设施的安全。 E安全/文 转载请注明E安全 E安全——全球网络安全新传媒 |
|