xDedic, le milieu louche des serveurs piratés à vendre

 Download PDF version

Au cours des deux dernières années, un nouveau type de marché clandestin s’est développé dans les entrailles d’Internet.

Le nom du phénomène, court et énigmatique, ne dit pas grand chose : xDedic. Toutefois, ce marché de l’ombre permet à n’importe qui d’acheter plus de 70 000 serveurs piratés du monde entier.

xDedic, le milieu louche des serveurs piratés à vendre

Login du forum xDedic

Depuis les réseaux d’organismes gouvernementaux jusqu’aux réseaux d’entreprises privées en passant par les serveurs Internet et de base de données, on trouve de tout sur xDedic. Et à des prix très abordables. Ainsi, l’accès à un serveur dans un réseau d’une organisation gouvernementale d’un pays Membre de l’Union européenne est disponible pour 6 dollars.

Avec ce forfait, l’acheteur malveillant obtient l’accès à toutes les données stockées sur le serveur et la possibilité d’exploiter cet accès pour lancer d’autres attaques. Il s’agit du rêve de tout pirate : l’accès aux victimes est simplifié, la procédure est plus simple et moins chère. Cette formule ouvre de nouvelles perspectives à la fois pour les cybercriminels et les auteurs de menaces avancées.

dedic_fr_2

Forum d’achat de serveur.

Dans le cadre de son enquête sur xDedic, Kaspersky Lab s’est associé à un F.A.I. européen. Cette recherche nous a permis de récolter des informations sur les victimes et sur la manière dont le marché fonctionne.

En mai 2016, nous avons recensé 70 624 serveurs proposés à la vente par 416 vendeurs uniques dans 173 pays touchés. En mars 2016, le nombre de serveurs s’élevait à 55 000, ce qui prouve que la base de données des utilisateurs et des serveurs est soigneusement entretenue et mise à jour.

xDedic, le milieu louche des serveurs piratés à vendre

Principaux pays avec des serveurs en vente.

Il est intéressant de noter que les développeurs de xDedic ne vendent rien eux-mêmes. Ils ont créé un marché où un réseau d’affiliés peut vendre un accès aux serveurs compromis. Pour être honnête, les individus à l’origine de xDedic ont mis sur pied un service de « qualité ». Le forum propose même un assistance technique en direct, des outils spéciaux pour appliquer des correctifs sur les serveurs piratés afin d’autoriser des sessions RDP multiples et des outils de profilage qui chargent les informations relatives aux serveurs piratés dans la base de données xDedic.

xDedic, le milieu louche des serveurs piratés à vendre

Top 10 des vendeurs – Mai 2016

Qui sont donc les vendeurs xDedic cités ci-dessus ? Nous avons été en mesure d’identifier un malware très spécifique (SCCLIENT) qui est utilisé par un de ces vendeurs et de détourner son serveur de commande via la technique du sinkhole. Nous avons pu ainsi analyser les opérations d’un de ces groupes qui, sur la base du nombre de victimes, serait Narko, xLeon ou sirr.

xDedic, le milieu louche des serveurs piratés à vendre

Trojan SCCLIENT : informations relatives aux victimes obtenues via la technique du sinkhole (12 première heures)

Le logiciel de profilage créé par les développeurs de xDedic récolte également des informations sur les logiciels installés sur le serveur tels que les logiciels pour paris en ligne, transactions boursières ou paiements.

Il semblerait qu’il existe un intérêt soutenu pour les logiciels de comptabilité, de déclaration de revenus et de point de vente qui offrent de nombreuses opportunité aux fraudeurs :

Outils de spam et d’attaque Logiciels de pari et financiers Logiciels de point de vente
Advanced Mass Sender
Bitvise Tunnelier
DU Brute
LexisNexis Spam Soft
LexisNexis Proxifier
Proxifier
Spam Soft

Full Tilt Poker
iPoker Network
UltraTax 2010 (2011,..,2015)
Abacus Tax Software
CCH tax14 (tax15)
CCH Small Firm Services
ChoicePoint
ProSeries TAX (2014,2015)
ProSystem fx Tax
TAX Software
2015 Tax Praparation
Tax Management Inc.
Lacerte Tax
PosWindows
BrasilPOS
POS AccuPOS
POS Active-Charge
POS Amigo
POS Catapult
POS Firefly
POS ePOS
POS EasiPos
POS Revel
POS Software (Generic)
POS Toast
POS QBPOS
PosTerminal
POS kiosk.exe
POS roi.exe
POS PTService.exe
POS pxpp.exe
POS w3wp.exe
POS DpsEftX.ocx
POS AxUpdatePortal.exe
POS callerIdserver.exe
POS PURCHASE.exe
POS XPS.exe
POS XChgrSrv.exe

Lors de notre recherche, nous avons dénombré 453 serveurs de 67 pays équipés d’un logiciel de point de vente :

xDedic, le milieu louche des serveurs piratés à vendre

Serveurs à vendre avec logiciel de point de vente – Mai 2016

Par exemple, un utilisateur malveillant pourrait se rendre sur le forum xDedic, créer un compte, y déposer des bitcoins, puis acheter un certain nombre de serveurs dotés d’un logiciel de point de vente. Il peut ensuite installer un malware pour terminal de point de vente, comme Backoff pour récolter les numéros de carte de crédit. Les possibilités sont vraiment infinies.

Kaspersky Lab a transmis les informations aux autorités compétentes et offre sa coopération dans l’enquête en cours.

Pour lire notre rapport complet sur xDedic avec les indices de compromission, téléchargez le document xDedic Marketplace Analysis au format PDF via le lien.

* Pour en savoir plus sur les services Kaspersky Lab Intelligence Services, les rapports de menace et les analyses personnalisées de menaces, contactez intelreports@kaspersky.com

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *