PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [Über 70.000 gehackte RDP-Server im Angebot] Ab zwei Dollar: Über 70.000 RDP-Server auf Untergrund-Marktplatz im Angebot



RedDevil
16.06.2016, 09:31
https://www.szenebox.org/images/_imported/2016/06/85.jpg
Angebot bei Xdedic.biz

Forscher von Kaspersky haben einen Untergrund-Marktplatz ausgemacht, der ausschließlich Zugänge auf gehackte Remote-Desktop-Server verkauft. Über 72.000 Maschinen sind im Angebot, darunter etliche, auf denen Kassensysteme laufen.

Xdedic.biz nennt sich der der frei zugängliche, auf Englisch und Russisch betriebene Marktplatz für gehackte Server die per Remote Desktop Protocol (RDP) erreichbar sind. Laut Vicente Diaz, Sicherheitsforscher bei Kaspersky Lab, ist die Seite "hoch professionell" und es würden nur geprüfte RDP-Zugänge verkauft. Die über 72.000 Server – davon gut 1300 in Deutschland – lassen sich mittels diverser Filter sortieren: Land, Betriebssystem, Admin-Zugang, feste IP-Adresse, Tempo der Internetanbindung und so weiter.

https://www.szenebox.org/images/_imported/2016/06/86.jpg
Auf dem Untergrund-Marktplatz finden sich Zugangsdaten zu über tausend deutschen Rechnern.

Nach einem Klick auf einen Listeneintrag gibt die Seite Zugriff auf Details wie die Online-Zahlungsmittel, die von den legitimen Anwendern der Maschine genutzt werden. Ebenfalls wird kategorisiert, ob von diesem Rechner aus Zugriffe auf Poker-, Shopping-, Banking- oder Datingseiten erfolgen. Angeboten werden die zwischen 2 und 6000 US-Dollar teuren Zugänge von verschiedenen Händlern. Laut Kaspersky haben Top-Verkäufer wie UFOSystem oder Intro jeweils mehr als zehntausend RDP-Server im Angebot. Neben den üblichen Windows-Servern finden sich auch reichlich Windows XP- und Windows-7-Maschinen in der Liste.

► Steuerdaten und Kreditkarten-Abwicklung
Auf den Rechnern, für die drei- und vierstellige Summen angeboten werden, finden sich den Anbietern zufolge unter anderem Steuerinformationen, Buchhaltungsanwendungen oder Software für Kassensysteme (POS, Point of Sale), wie sie in Restaurants oder Hotels zu finden ist. Auf über 450 der angebotenen Rechner ist POS-Software installiert. Sie verspricht raschen Zugriff auf Kartendaten, wenn eine entsprechende Malware auf dem Rechner nachinstalliert wird.

Ansonsten können die RDP-Server auch als Sprungbrett für Spamkampagnen sowie weitere Angriffe dienen, die entweder weiter in das Netzwerk der betroffenen Organisation hineinreichen oder andere Rechner im Internet ins Visier nehmen.
Schwache Kennwörter weit verbreitet

► Schwache Kennwörter weit verbreitet
Sicherheitsforscher Diaz geht davon aus, dass die kriminellen Hacker per Bruteforce-Angriff an die Anmeldedaten der RDP-Dienste kommen. Dies spricht dafür, dass entweder leicht zu erratende Kennwörter verwendet wurden, oder auf den Rechnern keine Sperre nach einer vorgegebenen Zahl fehlerhafter Anmeldeversuche erfolgt. Ähnliche Erkenntnisse förderte das Project Heisenberg genannte Honeynet von Rapid 7 zutage, das auffallend viele Loginversuche mit Standardkennwörtern verzeichnete.

Zu finden sind die gekaperten RDP-Hosts den Forschern zufolge fast überall: in Unternehmen, Universitäten, Regierungsstellen und Privathaushalten. Einige der Opfer konnte Kaspersky kontaktieren, in dem die Forscher ein Sinkhole aufsetzten. Mit diesem verband sich eine oft von den RDP-Verkäufern auf den übernommenen Maschinen installierte Malware, die unter anderem dem Bitcoin-Mining diente. So kamen die Kaspersky-Fachleute an die vollständigen IP-Adressen und konnten die Opfer mithilfe der jeweiligen lokalen CERTs kontaktieren.

Voller Service mit eigenem RDP-Client
Die Betreiber von xdedic.biz haben auch einen eigenen RDP-Client im Angebot sowie ein Tool zum Säubern der Logdateien, damit Unberechtigte ihre Spuren verwischen können. Der Client soll die Installation von weiterer Software auf dem übernommenen Host sowie die Login-Abläufe erleichtern. Eine Anwendung zum raschen Installieren eines SOCKS-Proxy ist ebenfalls im Angebot.

Laut Kaspersky sind Strafverfolgungsbehörden bereits auf das Forum aufmerksam gemacht worden. Wie lange die Nachforschungen noch andauern und ob rechtliche Schritte gegen die Betreiber möglich sind, ist noch unklar. Fest steht, dass die Betreiber auf die Schutzmechanismen des US-Unternehmens Cloudflare setzen, das unter anderem DDoS-Attacken abfangen soll. Gehostet wird das Forum laut Kaspersky bei Hetzner in Deutschland.

Quelle: Heise.de (http://www.heise.de/newsticker/meldung/Ab-zwei-Dollar-Ueber-70-000-RDP-Server-auf-Untergrund-Marktplatz-im-Angebot-3238565.html)

Cappa
16.06.2016, 12:53
Gehostet wird das Forum laut Kaspersky bei Hetzner in Deutschland

Wa? Echt? Mutig...

userxyz
16.06.2016, 13:20
Wieso? Wird sicher nicht ihr eigene Server sein :D An mangelnden Alternativen wird es wohl auch nicht mangeln ;)

Cannonau
16.06.2016, 20:03
An mangelnden Alternativen wird es wohl auch nicht mangeln

Mangeln sie nun oder mangeln sie nicht? ;-)

Cannonau