15 juin 2016

Qui d’autre utilise vos serveurs ? Kaspersky Lab dévoile la vente massive au marché noir de plus de 70 000 serveurs piratés

Qui d’autre utilise vos serveurs ? Kaspersky Lab dévoile la vente massive au marché noir de plus de 70 000 serveurs piratés

Les chercheurs de Kaspersky Lab ont enquêté sur un forum international où des cybercriminels peuvent acheter et vendre l'accès à des serveurs piratés pour à peine 6 dollars pièce. Le forum xDedic, apparemment gérée par un groupe russophone, recense actuellement 70 624 serveurs RDP (Remote Desktop Protocol) piratés et à vendre. Bon nombre de ces serveurs hébergent ou donnent accès à des sites et services web très fréquentés des consommateurs et où, pour certains, sont installés des logiciels de mailing, de comptabilité financière ou de terminaux point de vente (TPV). Ils peuvent être exploités pour cibler les infrastructures de leurs propriétaires ou comme tremplin pour le lancement d’attaques plus vastes, alors que ces propriétaires, qu’il s’agisse d’administrations, d’entreprises ou d’universités, n’ont guère, voir pas du tout conscience de ce qui se passe. 

xDedic est un exemple parfait d’un nouveau type de plateforme cybercriminelle, bien organisée et offrant aux petits escrocs comme aux groupes APT un accès facilité, rapide et bon marché à une infrastructure de façade pour masquer leurs méfaits le plus longtemps possible. 

Comment xDedic a-t-il été découvert ?

Après qu’un fournisseur d’accès Internet (FAI) européen ait alerté Kaspersky Lab sur l’existence de xDedic, les deux sociétés ont décidé d’enquêter conjointement pour étudier le fonctionnement de ce forum. Le processus est simple et complet : les pirates pénètrent dans les serveurs, souvent par des attaques de force brute, et en communiquent les identifiants à xDedic. La configuration RDP, la mémoire, les logiciels, l’historique de navigation, … des serveurs piratés sont ainsi analysés. Autant de caractéristiques sur lesquelles les clients peuvent effectuer des recherches avant de faire leurs emplettes. Ensuite, les serveurs viennent s’ajouter à un catalogue croissant donnant un accès en ligne à :

• des serveurs appartenant à des administrations, entreprises ou universités ;

• des serveurs étiquetés comme ayant accès à ou hébergeant certains sites et services web, (jeux, paris, rencontres, e-commerce, banque et paiement en ligne, téléphonie mobile, FAI, navigateurs…) ;

• des serveurs où sont préinstallés des logiciels pouvant faciliter une attaque (mailing, finance, TPV…) ;

• le tout assorti d’une panoplie d’outils de piratage pour différents systèmes informatiques.

A partir de 6 dollars par serveur, les membres du forum xDedic ont accès à toutes les données d’un serveur et peuvent également utiliser celui-ci comme plate-forme pour lancer d’autres attaques (attaques ciblées, malware, DDoS, phishing, social engineering, adware, etc.). 

Des attaques silencieuses

Les propriétaires légitimes des serveurs, qui sont des entités réputées telles que des administrations, des entreprises ou des universités, n’ont souvent pas connaissance du piratage de leur infrastructure informatique. En outre, une fois leur campagne malveillante menée à bien, ses auteurs peuvent remettre en vente l’accès au serveur et l’ensemble du processus peut se répéter.

La place de marché xDedic semble être en service depuis le courant de 2014 et a vu son succès monter en flèche depuis la mi-2015. En mai 2016, elle répertoriait 70 624 serveurs dans 173 pays, mis en vente par 416 vendeurs différents. Les dix principaux pays touchés sont le Brésil, la Chine, la Russie, l’Inde, l’Espagne, l’Italie, la France, l’Australie, l’Afrique du Sud et la Malaisie.

Le groupe qui se cache derrière xDedic paraît être de langue russe et prétend fournir simplement une plate-forme de transactions sans liens ni affiliations avec les vendeurs. 

« xDedic vient encore confirmer que la cybercriminalité sous forme de service se développe par l’ajout d’écosystèmes commerciaux et de plates-formes transactionnelles. Son existence apporte une facilité sans précédent pour tous ceux, des petits malfaiteurs aux auteurs de menaces APT étatiques, qui souhaitent lancer à moindre coût des attaques potentiellement dévastatrices avec rapidité et efficacité. Les victimes, en définitive, ne sont pas seulement les consommateurs ou entreprises cibles d’une attaque mais aussi les propriétaires des serveurs qui ne soupçonnent pas ce qui se passe : il est probable qu’ils ignorent totalement que leurs serveurs sont détournés à de multiples reprises pour différentes attaques, toutes menées à leur insu », commente Costin Raiu, Directeur de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab.

Kaspersky Lab adresse donc les conseils suivants aux entreprises :

• Installer une solution de sécurité robuste dans le cadre d’une approche complète à plusieurs niveaux de la sécurité de l’infrastructure informatique ;

• Utiliser des mots de passe forts pour le processus d’authentification sur les serveurs ;

• Mettre en œuvre une procédure de gestion continue des correctifs de sécurité ;

• Procéder régulièrement à un audit de sécurité de l’infrastructure informatique ;

• Envisager d’investir dans des services de veille pour tenir l’entreprise informée des menaces émergentes et l’aider à évaluer le niveau de risque présenté par les cybercriminels.

Pour en savoir plus sur xDedic, rendez-vous sur Securelist.com 


 

Articles related to Actualités sur les entreprises