Kaspersky Lab entdeckt Cyber-Schwarzmarkt für gehackte Server

Server im Rechenzentrum (Bild: Shutterstock/Stefan Petru Andronache)

Auf xDedic werden Zugänge zu über 70.000 Servern zu Preisen ab sechs Dollar pro Server gehandelt. Der Untergrundmarktplatz wird mutmaßlich von einer russischsprachigen Gruppe betrieben. Die Server stehen auch in staatliche Organisationen, Unternehmen und Universitäten.

Nach einem Tipp eines europäischen Internet Service Providers hat Kaspersky Lab einen als xDedi bezeichneten Untergrundmarktplatz entdeckt. Darüber werden den Security-Experten zufolge, zu Preisen ab sechs Dollar Zugänge für gehackte Server angeboten. Das Angebot ist umfangreich: Interessenten haben die Auswahl aus über 70.00 Servern in 173 Ländern.

Log-in-Seite für den auf den Zugang für gehackte Server spezialisierten Untergrundmarkt xDedic (Screenshot: Kaspersky)
Log-in-Seite für den auf den Zugang für gehackte Server spezialisierten Untergrundmarkt xDedic (Screenshot: Kaspersky)

Betrieben wird xDedic Kaspersky zufolge mutmaßlich von einer russischsprachigen Gruppe. Unter den Servern, zu denen Zugang angeboten wird, gehören auch viele, die von ihren Besitzern oder ihren rechtmäßigen Benutzern für das Hosting vielbesuchter Webseiten und Dienste verwendet werden. Auf anderen laufe Software für den E-Mail-Versand, die Finanzbuchhaltung oder zur Abwicklung von Bezahlvorgängen.

Die Server gehörten Unternehmen, Universitäten und sogar staatlichen Organisationen. Kriminelle, die sich bei xDedic einen Zugang kaufen, können diese Server dann unbemerkt vom eigentlichen Besitzer für ihre Attacken verwenden. Denkbar sind etwa zielgerichtete Attacken, die Verbreitung von Malware, Distributed Denial of Services (DDoS), Phishing, Social Engineering oder Adware-Verbreitung.

Das xDedic-Prinzip: “ebenso einfach wie gründlich”

Kaspersky bezeichnet das Vorgehen der xDedic-Betreiber als “ebenso einfach wie gründlich”: Hacker liefern Server-Zugangsdaten, die sie oftmals durch Brute-Force-Angriffe erlangt haben, an xDedic. Dessen Betreiber nehmen dann eine Art “Qualitätskontrolle” vor: Sie prüfen die Server auf ihre RDP-Konfiguration, die Speicherkapazität, die darauf installierte Software und den Browserverlauf. Anschließend werden sie in die “Angebotsliste” aufgenommen. So können Kriminelle vor dem Kauf eines Accounts exakt den für ihre Zwecke passenden Server auswählen.

"xDedic ist ein weiterer Beleg dafür, dass Cybercrime-as-a-Service-Modelle expandieren” sagt Costin Raiu, Leiter des Global Research and Analysis Teams bei Kaspersky Lab. (Bild: Kaspersky Lab)
“xDedic ist ein weiterer Beleg dafür, dass Cybercrime-as-a-Service-Modelle expandieren” sagt Costin Raiu, Leiter des Global Research and Analysis Teams bei Kaspersky Lab. (Bild: Kaspersky Lab)

Die xDedic-Plattform existiert den Erkenntnissen von Kaspersky zufolge wahrscheinlich bereits seit 2014. Im Mai 2016 haben dort 416 unbekannte Anbieter den Zugriff auf 70.624 Server aus 173 Ländern angeboten. Die Liste der Länder, in denen die meisten dieser Server stehen, wird von Brasilien, China, Russland und Indien angeführt. Es folgen die europäischen Länder Spanien, Italien und Frankreich vor Australien, Südafrika und Malaysia.

“xDedic ist ein weiterer Beleg dafür, dass Cybercrime-as-a-Service-Modelle expandieren” sagt Costin Raiu, Leiter des Global Research and Analysis Teams bei Kaspersky Lab. “Damit hat jeder – vom Anfänger über ambitionierte Cyberkriminelle bis zu nationalstaatlich unterstützen Angreifern – eine kostengünstige, schnelle und effektive Möglichkeit, potenziell verheerende Cyberangriffe durchzuführen. Opfer sind dabei nicht nur die attackierten Einzelpersonen und Organisationen, sondern auch die Betreiber der für die Angriffe genutzten Server. Sie haben vermutlich keine Ahnung, dass die Server direkt vor ihrer Nase immer wieder für verschiedene Cyberangriffe missbraucht werden.”

Übersicht über die zehn Länder, in denen die meisten, bei xDedic zum Kauf angebotenen, gehackte Server stehen (Grafik: Kaspersky Lab).
Übersicht über die zehn Länder, in denen die meisten, bei xDedic zum Kauf angebotenen, gehackte Server stehen (Grafik: Kaspersky Lab).