xDedic: Mercado Clandestino de Servidores Invadidos

Ao longo dos últimos dois anos, nas camadas mais obscuras da Internet, ou melhor, na tão conhecida e ao mesmo tempo desconhecida, enigmática e curiosa Deep Web, um tipo diferente de mercado clandestino foi surgindo e mostrando fortemente a que veio. Esse mercado tem um nome simples,misterioso (talvez), e isso não diz muito sobre ele: o tal mercado é chamado "xDedic". No entanto, a partir deste mercado obscuro, qualquer pessoa pode comprar mais de 70.000 servidores que foram comprometidos em toda a Internet. A partir de redes governamentais para corporações, a partir de servidores da Internet para bancos de dados, xDedic oferece um considerável mercado para compradores, onde estes podem encontrar qualquer qualquer coisa que estiverem procurando. E para aqueles que tiverem interesse em ingressar neste antro, o mais interessante de tudo é que lá, todo e qualquer produto comercializado está por um preço bem em conta. Por exemplo, a compra de acesso a um servidor que estiver localizado em uma rede governamental de um país da União Europeia, pode custar tão pouco que gira em torno de $ 6. De acordo com análises e investigações dentro desse contexto, o país com o maior número de servidores RDP invadidos e disponíveis a venda no mercado underground xDedic é o Brasil: ao todo, seriam mais de 6.500 servidores para comercialização.


O custo "one-time", permite que um comprador malicioso tenha acesso a todos os dados no servidor, além da possibilidade de usar este acesso para lançar novos ataques. Isso poderia ser traduzido como o sonho de um hacker, simplificando o acesso às vítimas, tornando-o mais barato e mais rápido, e abrindo novas possibilidades para ambos os lados, que envolve tanto os cybercriminosos e quanto os atacantes ligados à ameaças avançadas persistentes, as famosas APTs. Com o intuito de investigar as atividades em xDedic, os pesquisadores da Kaspersky Lab se uniram com um ISP europeu. A pesquisa permitiu recolher dados sobre as vítimas e a forma como o mercado funciona. Neste último maio de 2016, houve um registro de que 70.624 servidores estariam disponíveis para compra, entre 416 vendedores exclusivos distribuídos em 173 países afetados. Em março de 2016, o número foi de cerca de 55.000, uma indicação clara de que o banco de dados de usuários e servidores é cuidadosamente mantido e atualizado.


Comercialização do Acesso a Servidores Comprometidos

De forma curiosa, os desenvolvedores do xDedic não estão vendendo nada - ao invés disso, eles criaram um mercado onde uma rede de afiliados pode vender o acesso a servidores comprometidos. Se a verdade deve ser dita, as pessoas que estão por trás do mercado xDedic criaram o que parece ser um serviço de "qualidade" - o fórum inclui ainda um suporte técnico ao vivo, ferramentas especiais para corrigir servidores comprometidos com a intenção de permitir que várias sessões RDP e ferramentas de perfil, possam enviar informações sobre os servidores comprometidos no banco de dados do próprio xDedic. A partir daí, vem as perguntas: quem são os vendedores que atuam no xDedic e estão listados acima? Os pesquisadores tem sido capazes de identificar uma parte muito específica de malware (SCCLIENT), que é usado por um deles, e um "sinkhole" de seus servidores de comando e controle. Isto proporcionou um vislumbre das operações de uma dessas entidades, que, tendo base no número de vítimas que já foram feitas, leva a suspeitar que há envolvimento de Narko, xLeon ou sirr.


Recolhimento de Informações

Além disso, o software de perfis criado pelos desenvolvedores atuantes no xDedic também recolhe informações sobre o software instalado no servidor, tais como jogos de azar on-line, atividades ligadas ao comércio e realização de pagamentos. Aparentemente, existe um forte interesse na área da contabilidade, em relatórios de impostos e de Point-of-Sale (PoS), porque isso abre muitas oportunidades para os fraudadores. Por exemplo, um utilizador mal intencionado poderia ir para o fórum xDedic, registar uma conta, movimentá-la com Bitcoins e, em seguida, comprar um determinado número de servidores que têm software de POS instalados. Então, eles podem instalar malware PoS, tais como Backoff para colher números de cartão de crédito e credenciais ligadas a cartões de pagamento. As possibilidades nesse quesito são infinitas. Ressaltando que a Kaspersky Lab informou sobre esta questão junto as agências de aplicação da lei, e está cooperando fortemente com uma investigação que está em curso. Importante ainda salientar que, fundado no ano de 2014, o mercado underground xDedic foi descoberto em junho 2016 pelo pessoal da Kaspersky Lab, através da divulgação de um relatório, como sendo um importante pólo no comércio de servidores comprometidos . Em maio de 2016, mais de 70.000 servidores foram colocados à venda, como já foi supra mencionado.


Mercado Clandestino Compreende Desde Comércio Eletrônico até Plataformas de Mensagens Instantâneas

Os servidores compreendem áreas de jogos de azar online, comércio eletrônico, bancos e processadores de pagamento, sites de namoro on-line, redes de publicidade, provedores de serviços, e-mail prestadores de serviços, navegador Web e plataformas de mensagens instantâneas. Vários produtos ligados ao crimeware estavam livremente a venda. O site apresenta um portal de parceiros listados de forma segura e utiliza uma espécie de sistema para verificação de dados comprometidos e padronizados através de um backdoor, desenvolvido para esta finalidade.


Saiba Mais:

[1] Securelist https://securelist.com/blog/research...vers-for-sale/