Marché noir : multiplication des ventes automatisées de serveurs compromis

La vente d’accès à des serveurs compromis se généralise de plus en plus et devient accessible à des cybercriminels n’ayant pas les compétences nécessaires afin d’effectuer ce type de piratage.

Les accès proposés sont multiples. Les offres basiques concernent des comptes applicatifs (tels que FTP, SMTP, Webmail) exploitables pour des échanges de fichiers ou des envois d’emails.

Des comptes administrateurs sont également négociés. Ils offrent des accès complets à des serveurs compromis. Les moyens d’administration fournis diffèrent selon les cibles (prise de main à distance via RDP, interface d’administration cPanel, shell PHP déposé sur des serveurs Web, etc.). La compromission de ces derniers étant particulièrement critique car il devient plus aisé pour un pirate de prendre éventuellement le contrôle des autres serveurs de la même entité.

Vente de comptes administrateurs sur Windows 2003. Leur prix est dérisoire, moins de 10 dollars.
adminaccess.png

Exemple de la multitude des « portes d’entrées » revendues afin d’accéder aux serveurs : interface de gestion cPanel, webmail, accès administrateurs RDP…
cpanel.jpg

Les actions malveillantes pouvant être initiées depuis un serveur compromis sont multiples :

  • Le pirate peut disposer du serveur comme d’un proxy afin de mener ses attaques ce qui complique considérablement le travail des autorités qui ne pourront que très difficilement le localiser.
  • L’accès à de tels serveurs est une aubaine pour les spammeurs, ces derniers ayant dès lors la faculté de diffuser massivement leurs « pourriels » sans craindre de voir leurs envois bloqués ou arriver dans la catégorie « courriers indésirables ».
  • De manière beaucoup plus pragmatique, ces serveurs peuvent tout simplement être utilisés afin de stocker des données, mais aussi des virus…
  • L’acquisition de multiples serveurs permet à un pirate d’élargir son réseau de « botnets ».
  • Enfin, ces serveurs peuvent intéresser un pirate afin de procéder à des vols de données en pénétrant le réseau de l’entreprise. Cependant, les serveurs mis en vente sur le marché noir ne précisent pas, pour la majorité d’entre eux, l’identité de la compagnie attaquée. Seul le pays de cette dernière est indiqué en accès libre.

Exemple d’accès PHP Shell mis en vente sur un site underground proposant des serveurs de multiples pays : Brésil, Roumanie, Singapour, Angleterre, Etats-Unis…
phpshell.jpg

Adrien Guinault

Découvrir d'autres articles

  • conflit israélo-palestinien
    Cyber Threat Intelligence

    Retour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien

    Lire l'article
  • Veille / Vulnérabilités

    Exploitation d’une vulnérabilité dans WinRAR lors de campagnes de phishing

    Lire l'article
  • Veille / Vulnérabilités

    10 erreurs de configuration réseau à ne pas commettre selon la NSA et le CISA

    Lire l'article