Il market xDedic è un incubo, ma c’è di più?

Giu 23, 2016 Marco Schiaffino Approfondimenti, Intrusione, Mercato, News 1

Dopo la scoperta del market sul Dark Web che offre l’accesso a migliaia di server compromessi, i ricercatori di Kaspersky hanno messo le mani su nuove informazioni che fanno pensare a un fenomeno ancora più ampio.

Secondo gli analisti di Kaspersky quanto scoperto nei giorni scorsi riguardo al market xDedic, che offre la possibilità ai cyber-criminali di acquistare l’accesso a oltre 70.000 server compromessi, potrebbe essere solo “la punta dell’iceberg”.

In un post su SecureList, gli autori dell’inchiesta raccontano gli inaspettati sviluppi della vicenda che ha acceso i riflettori su quello che si annuncia come un vero terremoto nel mondo della sicurezza informatica.

Stando a quanto riferito dal Global Research & Analysis Team (GReAT) di Kaspersky, in seguito alla pubblicazione della prima analisi su xDedic, sul forum è comparso un commento piuttosto bizzarro, a firma di un utente registrato con il nome di AngryBirds.

Gli autori del messaggio fanno i complimenti ai ricercatori Kaspersky e… un inaspettato regalo.

Oltre a fare i complimenti per aver scoperto l’esistenza di xDedic, la fonte anonima aveva inserito il collegamento ad alcuni documenti su Pastebin, ognuno dei quali conteneva informazioni su server che sarebbero stati venduti sul mercato nero, indicandone l’indirizzo IP e la data di “acquisizione” da parte dei pirati che li hanno poi messi in vendita su xDedic.

Il dato interessante, però, è che l’elenco caricato su Pastebin ha dimensioni decisamente superiori a quello ricavato dal market. Più precisamente fa riferimento a circa 176.000 server compromessi tra ottobre 2014 e marzo 2016.

Le verifiche effettuate dal GReAT sull’attendibilità dell’elenco, descritte nel dettaglio all’interno del post, portano però a pensare che sia credibile.

Gli analisti del GReAT hanno incrociato i dati per verificare l’attendibilità della “soffiata”.

Da dove arrivano allora gli oltre 100.000 server in più? La spiegazione che si sono dati gli analisti di Kaspersky è semplice quanto convincente: nell’elenco compaiono anche i server più “appetitosi”, che sono stati venduti poche ore (o minuti) dopo la loro disponibilità sul mercato nero.

Un’ipotesi, questa, che verrebbe confermata anche da altri elementi, primo tra tutti quello della distribuzione geografica dei server compromessi.

Nell’elenco scaricato dal market, per esempio, figuravano pochi server posizionati negli Stati Uniti che, nell’elenco di Pastebin, invece, i server “Made in USA” sarebbero ben 60.081. Un dato decisamente più credibile, considerata la quantità di potenziali bersagli sul territorio statunitense.

Stando ai dati su Pastebin, i server USA compromessi sarebbero il 34% del totale.

Sebbene i ricercatori autori dell’inchiesta ci vadano con i piedi di piombo nell’accreditare come affidabili i dati ricevuti dalla fonte anonima, quindi, xDedic sembra avere dimensioni più ampie di quelle (già spaventose) immaginate in un primo momento.

Restano ovviamente molte domande insolute, sia sull’identità della fonte, sia sui possibili sviluppi della vicenda. Da oggi, però, molti amministratori IT dovranno darsi da fare per verificare lo stato di salute dei sistemi che gestiscono.

Condividi l'articolo