I ricercatori di Kaspersky hanno scoperto l’esistenza di un nuovo “mercato nero” all’interno del quale vengono commercializzate, per soli 6 dollari, le credenziali d’accesso per oltre 70.000 server di Desktop Remoto (protocollo RDP), in tutto il mondo.
Molti dei server ospitano o vengono utilizzati per offrire l’accesso a noti siti web e servizi consumer; in alcuni sono installati software per il direct mailing, la contabilità finanziaria e l’elaborazione Point-of-Sale (PoS).
I dati di autenticazione diffusi da xDedic – questo il nome del marketplace di credenziali altrui individuato da Kaspersky – possono essere utilizzati per colpire i proprietari delle infrastrutture o come punto di partenza per sferrare attacchi più ampi.
Secondo quanto riferito dai tecnici di Kaspersky, i server presenti nelle liste di xDedic sarebbero dislocati in 173 Paesi e apparterrebbero, in molti casi, a enti governativi, università e aziende private.
Nella stragrande maggioranza dei casi, i gestori di ciascun server non sospetterebbero nulla.
Il 4% dei server presenti negli elenchi di xDedic sono italiani. Nonostante la percentuale non sia altissima (si parla comunque di circa 2.800 server), l’Italia è al sesto posto assoluto dopo Brasile (9%), Cina (7%), Russia (6%), India (5%) e Spagna (5%).
xDedic non è raggiungibile né dai tradizionali motori di ricerca né dagli “utenti comuni”: il marketplace è stato infatti creato sul deep web ed è visitabile solo utilizzando il software TOR (vedere Tor Browser, ecco come si usa).