卡巴斯基實驗室6月15日宣布率先發(fā)現(xiàn)xDedic地下黑市——販賣全球超過7萬臺被感染服務器權限，最低售價僅為6美元!根據(jù)目前掌握的數(shù)據(jù)顯 示，xDedic2014年開始營業(yè)，并在2015年中快速增長。到2016年5月，該黑市共有來自174個國家的70,624臺服務器在售，由416名 不同的銷售商提供。其中，受影響最嚴重的十個國家分別為：巴西、中國、俄羅斯、印度、西班牙、意大利、法國、澳大利亞、南非和馬來西亞。

在大中華地區(qū)(中國大陸、中國臺灣和中國香港)，已有超過100家知名大型企業(yè)和ISP的服務器受到感染并在xDedic地下黑市出售，包括政府、運營商、電商、醫(yī)院、房地產(chǎn)公司 和學校等機構。

xDedic是一種典型的最新型網(wǎng)絡罪犯黑市。這種黑市組織嚴密，為所有人提供多樣化服務，從入門級別的網(wǎng)絡罪犯到APT(高級可持續(xù)性威脅)組織都可獲取到快捷、廉價及易于使用的合法機構基礎設施的訪問權限，令網(wǎng)絡犯罪行為更隱蔽，潛伏很長時間?？ò退够鶎嶒炇野踩珜＜医谡{查了這個專供網(wǎng)絡罪犯購買和販賣被感染服務器訪問權限的全球性論壇。該地下論壇似乎是由一個俄語網(wǎng)絡犯罪組織經(jīng)營，并聲稱只提供交易平臺，同服務器銷售者沒有關聯(lián)或合作關系 

目前共有70,624臺被破解的遠程桌面協(xié)議(RDP)服務器在售。其中，大量服務器被用于托管或訪問常用的消費者網(wǎng)站和服務，有的還安裝了相應軟件用于處理廣告郵件、金融會計和銷售終端(PoS)等服務。網(wǎng)絡罪犯不但可以利用這些服務器發(fā)動針對其所有者基礎設施的攻擊，還能作為跳板，發(fā)動范圍更大的攻擊。而絕大多數(shù)服務器的所有者，包括：政府機構、企業(yè)和大學等，對此還一無所知。

歐洲一家互聯(lián)網(wǎng)服務提供商(ISP)告知了卡巴斯基實驗室xDedic黑市的存在，雙方合作針對這一地下論壇的運營方式展開了調查。結果顯示，這個論壇的運營方式十分簡單且周密：首先，黑客通過暴力破解方式入侵服務器，并將相關登陸憑證提交到xDedic。接下來，檢查被入侵服務器的RDP配置、內(nèi)存、軟件和瀏覽歷史等信息——客戶在下單前均可查詢上述信息。最后，將這些服務器添加到在線銷售列表中，其中包括：

· 政府、企業(yè)和大學的服務器

· 能夠訪問或托管特定網(wǎng)站和服務的服務器，包括在線游戲、在線購物、在線銀行和在線支付、約會服務、電話網(wǎng)絡、賭博、ISP以及瀏覽器服務

· 預裝了相關軟件，可用于攻擊的服務器，包括廣告郵件、金融和銷售終端軟件等

· 均提供大量黑客工具和系統(tǒng)信息工具支持

這些被感染服務器的合法所有者都是權威機構，而且往往沒有意識到自己的IT基礎設施已被入侵。在入侵行動成功后，攻擊者就可悄無聲息的銷售服務器的訪問權限，啟動整個業(yè)務流程的運轉。網(wǎng)絡罪犯最低僅需支付6美元就可在xDedic上購買一臺服務器，訪問該服務器的所有數(shù)據(jù)，或用其作為實施進一步攻擊的平臺，包括發(fā)動針對性攻擊、惡意軟件攻擊、DDoS攻擊、釣魚攻擊、社交工程攻擊以及廣告軟件攻擊等。