В Сети можно купить права доступа к 70 тыс. взломанных серверов

В Сети можно купить права доступа к 70 тыс. взломанных серверов

В Сети можно купить права доступа к 70 тыс. взломанных серверов

«Лаборатория Касперского» при помощи европейского интернет-провайдера обнаружила крупную международную веб-площадку, на которой злоумышленники продают доступ к серверам коммерческих и государственных организаций. Минимальная цена одного сервера составляет всего 6 долларов США.

На сегодняшний день этот ресурс, известный под именем xDedic, готов предложить покупателям свыше 70 тысяч взломанных серверов, многие из которых открывают доступ к популярным сайтам и веб-сервисам. Значительная доля взломанных серверов находится в России. Впрочем, и за торговой площадкой предположительно стоит русскоязычная группировка.

Существование xDedic свидетельствует о том, что киберпреступность выходит на новый уровень. Наличие четко организованной и хорошо поддерживаемой площадки такого рода позволяет любому – от начинающего хакера до профессионального кибершпиона – получить быстрый, легкий и дешевый доступ к легитимной инфраструктуре, благодаря чему вредоносная деятельность останется незамеченной максимально долго.

 

 

Как выяснили эксперты «Лаборатории Касперского», данные на xDedic попадают в результате взлома серверов, как правило, при помощи прямых атак (брутфорса). Однако прежде чем выставить их на продажу, операторы площадки проверяют конфигурацию протоколов, память, программное обеспечение, историю браузера и другие детали – иными словами, все те особенности, которые будут интересовать покупателей. В итоге сегодня на xDedic можно найти серверы, принадлежащие государственным, коммерческим и образовательным организациям; серверы, на которых могут храниться данные для доступа к ресурсам азартных и онлайн-игр, интернет-магазинам, банковским и платежным системам, веб-сервисам сотовых сетей и интернет-провайдеров. Помимо этого, на xDedic продаются серверы с предустановленным ПО, облегчающим выполнение атак, например, с прямым доступом к почте, финансовым и POS-программам.

Законные владельцы серверов при этом зачастую даже не подозревают, что их IT-инфраструктура скомпрометирована и используется в киберпреступных операциях. Более того, по окончании вредоносной кампании задействованные в ней серверы вновь могут быть выставлены на продажу – и весь процесс начнется заново.

Площадка xDedic, по всей видимости, появилась в Сети в 2014 году, однако особой популярностью у злоумышленников она начала пользоваться в середине 2015-го. Сегодня на ней ведут торги более 400 продавцов, которые предлагают доступ к серверам из 173 стран. Помимо России, в числе наиболее пострадавших государств оказались также Бразилия, Китай, Индия, Испания, Италия, Франция, Австралия, ЮАР и Малайзия.

«Сайт xDedic – это очередное подтверждение того, что феномен «киберпреступление как услуга» набирает обороты. Существование коммерческих площадок и выстроенной вокруг них экосистемы позволяет любому желающему быстро развернуть эффективную вредоносную операцию при минимальных затратах. Конечными жертвами при этом становятся не только пользователи и организации, на которых направлены атаки, но также ничего не подозревающие владельцы серверов, которые в большинстве своем и не знают о вредоносных активностях, разворачивающихся у них под носом», – рассказывает Костин Райю, руководитель Глобального центра исследований и анализа угроз «Лаборатории Касперского».

Для того чтобы обезопасить свою IT-инфраструктуру, организациям следует установить надежное защитное ПО и придерживаться комплексного подхода к обеспечению информационной безопасности. Также «Лаборатория Касперского» рекомендует использовать устойчивые к взлому пароли для аутентификации сервера и настроить автоматическую установку обновлений программного обеспечения. Помимо этого, имеет смысл проводить регулярную проверку IT-инфраструктуры и рассмотреть возможность использования экспертных сервисов, которые помогут организации быть в курсе текущей ситуации с киберугрозами и адекватно оценивать степень риска.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Переписка россиян всё чаще утекает: за 6 месяцев — 11,3 млн логинов

За первое полугодие 2025 года специалисты Innostage SOC CyberART зафиксировали заметные изменения в активности киберугроз против российских компаний. Главное — хакеры стали чаще использовать персонализированные рассылки вместо массовых фишинговых атак.

Теперь злоумышленники всё чаще рассылают таргетированные письма, которые внешне не отличить от обычной переписки с контрагентами, официальных уведомлений или внутренних сообщений.

Чтобы сделать такие атаки более убедительными, они используют искусственный интеллект и информацию о внутренних процессах компаний. Этот подход делает атаки эффективнее и сложнее для обнаружения.

А вот популярность атак с подменой голоса или личности руководителя — так называемых FakeBoss — начала снижаться. В 2025 году среди клиентов Innostage не было ни одного успешного случая такого обмана.

OSINT-инциденты: плюс 50%

Общее число инцидентов, отнесённых к категории OSINT, выросло на 50% и почти достигло 10 тысяч. Более 70% из них связаны с изменениями на периметре ИТ-инфраструктуры: появление новых портов, изменение конфигурации, добавление ресурсов и т. д. Ещё около 12% касаются утечек через репозитории.

Интересно, что несмотря на это, упоминания IP-адресов компаний в таргет-листах для DDoS стали появляться реже — но только по количеству ссылок, а не по числу самих атак.

Утечки аккаунтов: «чистых» учёток всё меньше

В первом полугодии зафиксировано 694 упоминания об утечках, при этом общее количество скомпрометированных учёток составило 11,3 миллиона. Из них почти 10 миллионов — уникальные. Но по-настоящему «новых» — только 5,7 миллиона. Это значит, что большинство пользователей уже хотя бы раз «засветились» в каких-то сливах.

И 98% всех утечек — это данные небольших компаний. Причины — слабая защита и отсутствие базовых мер профилактики. Хакеры, к тому же, выбирают момент для публикации: обычно — перед праздниками или в дни, когда внимание к инфобезопасности ослабевает.

Один из новых векторов атак — использование логов программ-инфостилеров, которые крадут чувствительные данные с компьютеров или смартфонов. Чаще всего злоумышленники не сами собирают эти данные, а покупают уже готовые дампы.

Как защищаются компании

Растёт популярность подхода «абсолютного минимума»: оставить только сайт-визитку, корпоративную почту и VPN. Это уменьшает поверхность атаки и облегчает контроль. Также компании регулярно чистят лишние директории CMS, обновляют ПО и следят за тем, какие файлы могут индексироваться поисковиками.

DDoS-атаки: прицельно и по IP

Всё ещё актуальны атаки, при которых онлайн-сервисы перегружают трафиком. За полгода на отражение крупных DDoS-атак специалисты потратили в общей сложности 37 суток. Число атакуемых IP-адресов выросло в четыре раза — до более чем 900 тысяч, а число атакуемых доменов осталось примерно на прежнем уровне — чуть больше 3600.

Среди инструментов, которые применяют для DDoS, всё меньше используются старые решения вроде MHDDoS или DB1000N — их трафик уже неплохо блокируется провайдерами. На смену им приходят более сложные утилиты, такие как Gorgon Stress и Distress. Они лучше имитируют обычный трафик, поэтому их сложнее поймать и остановить.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru