Зарегистрировавшись и заплатив за доступ только один раз, покупатель получает доступ ко всем взломанным серверам, в числе которых — ресурсы госструктур и корпораций, интернет-магазины, банковские и платежные системы, сайты азартных игр и знакомств и многое другое — всего более 70 тысяч серверов из 173 стран. Причем, значительная часть взломанных ресурсов находится в России.
Получив доступ, киберпреступник использует его для вредоносных кампаний, DDoS-атак, фишинга, социальной инженерии, рекламных и целевых рассылок, мошенничества и кибершпионажа, а затем сам выставляет доступ на продажу, запуская заново весь процесс и достигая бесконечного его "круговорота". При этом законные владельцы серверов могут даже не подозревать, что их IT-инфраструктура скомпрометирована и используется в преступных операциях.
Кроме того, xDedic торгует серверами с предустановленным ПО, облегчающим выполнение атак — например, серверами с прямым доступом к почте, финансовым программам и программам для работы с платежными картами.
Прежде чем выставить взломанное на продажу, операторы площадки проверяют конфигурацию протоколов, память, программное обеспечение, историю браузера и другие детали — иными словами, все те особенности, которые будут интересовать покупателей, отмечает источник, уточняя, что за всем этим предположительно стоит русскоязычная группировка.
Минимальная цена доступа составляет шесть долларов США, а сам сервер-"магазин" расположен в правительственной сети государства, входящего в Европейский Союз. По данным "Лаборатории Касперского", на ней ведут торги более 400 продавцов. Помимо России, больше всего от "черной биржи" пострадали Бразилия, Китай, Индия, Испания, Италия, Франция, Австралия, ЮАР и Малайзия.
Существование xDedic свидетельствует о том, что киберпреступность выходит на новый уровень, подчеркивает источник. Наличие четко организованной и хорошо поддерживаемой площадки такого рода позволяет любому — от начинающего хакера до профессионального кибершпиона — получить быстрый, легкий и дешевый доступ к легитимной инфраструктуре, благодаря чему вредоносная деятельность останется незамеченной максимально долго.
"Серверы действительно становятся доступными для атаки через Интернет. Однако по-другому сегодня не получится: бизнес-процессы непрерывны, и очень важно, чтобы сервисы, которые работают на этих серверах, были доступны в любое время и из любой точки мира как для клиентов, так и для сотрудников", — считает Игорь Корман, генеральный директор ActiveCloud (входит в группу компаний Softline).
ИТ-инфраструктура небольших компаний, которые не могут тратить на защиту оборудования и сервисов много денег, более уязвима перед атаками злоумышленников, в то время как "железо", размещенное в дата-центре, защищено гораздо лучше.
"Не вмешиваясь в непосредственную работу сервера, провайдеры услуг дата-центров как бы накрывают все клиентское оборудование колпаком средств кибербезопасности, предлагая защиту от DDoS-атак, продвинутую фильтрацию сетевого траффка, шифрование каналов, двухфакторную аутентификацию и логирование доступа. Эти меры существенно усложняют задачу киберпреступников по захвату серверов. Я бы сказал, они делают ее практически невозможной", — уверен он.