Еще в июне 2016 года специалисты «Лаборатории Касперского» рассказали о подпольной торговой площадке xDedic, на которой злоумышленники продают доступ к взломанным серверам со всего мира. Тогда ресурс, работавший в обычном интернете, а не в зоне .onion, быстро исчез с радаров и, казалось бы, прекратил свою деятельность. Тогда «Лаборатория Касперского» отдельно подчеркивала, что все собранные о сайте данные были переданы в руки правоохранительных органов, и сами эксперты продолжают принимать участие в текущем расследовании.
Спустя несколько недель специалисты Digital Shadows обнаружили, что xDedic продолжает работу, но перебрался в даркнет. Новый xDedic полностью копировал дизайн старого сайта. Операторы торговой площадки не стали переносить на новое место аккаунты пользователей с исходного сайта, и регистрация изначально была открыта. Впрочем, для активации аккаунта все равно требовалось заплатить $50.
Учитывая, что первая, «открытая» версия xDedic привлекала до 30 000 пользователей ежемесячно, эксперты ожидали, что в даркнете ресурс не просуществует долго и, скорее всего, закроется, растеряв основную часть посетителей. Но этого не произошло.
Специалисты компании Flashpoint опубликовали новый отчет, посвященный деятельности xDedic, и сообщили, что ресурс продолжает работать и явно не испытывает проблем, на которые надеялись ИБ-эксперты. Если ранее на сайте продавали доступ более чем к 70 000 взломанных серверов по всему миру, теперь xDedic предлагает своим посетителям более 85 000 взломанных серверов.
Исследователи Flashpoint пишут, что почти три четверти скомпрометированных RDP-серверов расположены в образовательных учреждениях, и больше всего пострадавших насчитывается на территории США, Германии и Украины. Чаще всего злоумышленники подбирают пароли к плохо защищенным серверам, используя обычный брутфорс. После этого серверы могут использоваться для самой разной киберкриминальной деятельности, от вымогательских атак, до хищения данных.
