Le site xDedic a été saisi par les autorités européennes

Dans une opération internationale impliquant les services d’autorités des Etats-Unis et de plusieurs pays Européens, un site fréquenté par les cybercriminels a été fermé et trois suspects ont été arrêté en Ukraine.

Nommé xDedic, ce marché illégal en ligne permettait au cybercriminel d’acheter, de vendre ou de louer l’accès à des milliers de PC et de serveur dans le monde. Il était aussi possible d’accéder à des données personnelles de citoyens américains.

Ce site web underground était en activité depuis plusieurs années. Les administrateurs de xDedic avaient réussi jusque là à cacher la localisation des serveurs.

xDedic hacked server

N’importe qui pouvait acheté un forfait pour environ $6, selon un rapport de Kaspersky Lab datant de 2016, qui indiquait aussi que xDedic était géré par un groupe de pirates informatiques russophones.

Avec ce forfait, l’acheteur malveillant obtenait un accès à toutes les données stockées sur le serveur et la possibilité d’exploiter cet accès pour lancer d’autres attaques. Il s’agit du rêve de tout pirate : l’accès aux victimes est simplifié, la procédure est plus simple et moins chère. Cette formule de xDedic ouvrait de nouvelles perspectives pour les cybercriminels.

Il est intéressant de noter que les développeurs de xDedic ne vendaient rien eux-mêmes. Ils avaient créé un marché où un réseau d’affiliés pouvait vendre un accès aux serveurs compromis. Pour être honnête, les individus à l’origine de xDedic avaient mis sur pied un service de « qualité ». Le forum proposait même une assistance technique en direct, des outils spéciaux pour appliquer des correctifs sur les serveurs piratés afin d’autoriser des sessions RDP multiples et des outils de profilage qui chargeaient les informations relatives aux serveurs piratés dans la base de données xDedic.

Ce marché sous-terrain a généré plus de 68 millions de dollars avant d’être démantelé jeudi dernier (24 Janvier 2019). Europol et les Etats-Unis ont rendu cette opération public le 28 Janvier 2019.

xdedic

Les autorités compétentes ont révélé avoir mis la main sur l’infrastructure de xDedic en Belgique et en Ukraine. Ceux qui chercheraient encore à accéder au site web serait redirigé vers une page qui affiche que le site a été saisi.

xDedic n’est pas la seule chose qui ait été saisi

Les autorités Ukrainiennes ont annoncé la mise en examen de trois suspects liés à xDedic après avoir fouillé au moins 9 emplacements et saisi plusieurs systèmes informatiques.

l y a de forte chance que les autorités Françaises se penchent aussi sur ce cas. 5% des propositions commerciales d’XDedic concernaient des machines hexagonales.

Les attaques RDP, efficaces mais évitables

Les pirates ont pu accéder aux serveurs grâce à des attaques RDP par force brute exploitant des listes d’identifiants piratés ou mal sécurisés. Les attaques RDP ont de plus en plus la côte parmi les pirates informatiques, mais elles peuvent être évitées par des mesures de protection adéquates. Par exemple, les entreprises devraient adopter de meilleures politiques en matière de mots de passe pour l’accès à distance et imposer des limites aux tentatives de connexion.

En septembre, l’Internet Crime Complain Center (IC3) du FBI a publié une alerte publique sur « l’essor des marchés obscurs qui vendent des accès RDP ». Selon le FBI, les causes les plus courantes d’intrusion sont : faiblesse des mots de passe, versions périmées du RDP avec cryptage CredSSP défectueux, accès illimité au port RDP par défaut (TCP 3389) et tentatives de connexion illimitées aux comptes utilisateurs. L’alerte contenait également des recommandations utiles pour remédier à ces faiblesses. Dans le passé, les attaquants ont exploité l’accès RDP pour déployer des ransomwares comme SamSam, CrySiS et CryptON, et pour voler des informations sensibles. Certaines attaques menées avec ces malwares ont causé d’importantes perturbations dans les hôpitaux et autres institutions publiques.

Si cet article vous a plu, jetez un œil à notre précédent article.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x