Une plateforme pirate a été découverte par Kaspersky Lab. Des cybercriminels russe exploitent cette énorme place de marché proposant la location de plus de 70 000 serveurs répartis dans le monde, dont 2800 en France.
xDeclic a fait l’effet d’une bombe dans le monde de la cybersécurité et dans les médias. Effectivement, on peut tout à fait comprendre cela à cause du chiffre total donnant le tournis : plus de 70 000 serveurs piratés dans le monde au mains des cybercriminels (exactement 70 624 au mois de mai 2016).
Les prix débutent à 6 dollars… et la France est touchée à hauteur d’environ 4%, soit 2800 serveurs, dont certains appartiennent à des universités, des banques, des institutions et des entreprises. A ce tarif, les clients de xDedic ont accès à toutes les données du serveur choisi et peuvent également l’utiliser comme bon leur semble pour leurs activités (passerelle VPN, passerelle Tor, attaques ciblées, distribution de malware, attaques DDoS, phishing, social engineering, adware, etc.). Bref, aucune limite. Les prix varient en fonctions des droits sur le serveur en question et sur son contenu.
On doit la découverte de cette plateforme au GReAT, la Kaspersky Lab’s Global Research & Analysis Team, qui a pointé du doigt et analysé cette place de marché pirate d’un genre innovant. Notons qu’elle est directement accessible par tous, n’étant pas camouflée sur le Deep Web. Autant dire que les cybercriminels l’exploitant n’ont pas peur et souhaitent toucher le plus de clients potentiels possibles quitte à prendre plus de risques.
Les serveurs en question sont contrôlés via des backdoors par le protocole RDP (Remote Desktop Protocol). Notons que la plupart de ces serveurs hébergent des sites et services Web très fréquentés et, pour certains, sont installés des logiciels de mailing, de comptabilité financière ou de terminaux point de vente (TPV). Ils peuvent être exploités pour cibler les infrastructures de leurs propriétaires ou comme tremplin pour le lancement d’attaques plus vastes, alors que ces propriétaires, qu’il s’agisse d’administrations, d’entreprises ou d’universités, n’ont guère, voir pas du tout conscience de ce qui se passe.
xDedic est l’exemple parfait d’un nouveau type de cybercriminalité : type d’un nouveau type de plateforme cybercriminelle, bien organisée et offrant aux petits escrocs comme aux groupes APT un accès facilité, rapide et bon marché à une infrastructure de façade pour masquer leurs méfaits le plus longtemps possible.
Selon Kaspersky, le site a été créé en 2014, mais il est devenu populaire réellement qu’un an après. En juin 2015, le site proposait moins de 5 000 serveurs puis le chiffre a bondi à plus de 70.000 serveurs référencés actuellement sur xDedic et indexés en fonction de leur provenance géographique et de leurs caractéristiques techniques. D’après le WHOIS du nom de domaine, on tombe sur une fausse identité basée à Moscou. Durant leur enquête, les analystes de Kaspersky sont également tombés sur E-Investhost.com, un hébergeur dit “bullet-proof” utilisé régulièrement par les cybercriminels russes. Kaspersky promet de partager les données récoltées pour protéger au mieux les victimes et les informer de la compromission de leurs serveurs.
« xDedic vient encore confirmer que la cybercriminalité sous forme de service se développe par l’ajout d’écosystèmes commerciaux et de plates-formes transactionnelles. Son existence apporte une facilité sans précédent pour tous ceux, des petits malfaiteurs aux auteurs de menaces APT étatiques, qui souhaitent lancer à moindre coût des attaques potentiellement dévastatrices avec rapidité et efficacité. Les victimes, en définitive, ne sont pas seulement les consommateurs ou entreprises cibles d’une attaque mais aussi les propriétaires des serveurs qui ne soupçonnent pas ce qui se passe : il est probable qu’ils ignorent totalement que leurs serveurs sont détournés à de multiples reprises pour différentes attaques, toutes menées à leur insu », commente Costin Raiu, Directeur de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab.
Un rapport complet en PDF a été publié par Kaspersky Labs concernant l’analyse de xDedic Marketplace.
Les commentaires sont fermés.