ФБР, Европол закрыли площадку xDedic. Владельцы арестованы.

[lukas]

Еще в июне 2016 года специалисты «Лаборатории Касперского» рассказали о подпольной торговой площадке xDedic, на которой злоумышленники продают доступ к взломанным серверам со всего мира. Тогда ресурс, работавший в обычном интернете, а не в зоне .onion, быстро исчез с радаров и, казалось бы, прекратил свою деятельность.

Как выяснилось вскоре, xDedic продолжил работу, но перебрался в даркнет. Новый xDedic полностью копировал дизайн старого сайта. Весной 2017 года эксперты Flashpoint сообщали, что ресурс не просто продолжал работать, но не испытывал никаких проблем. По данным Flashpoint, если ранее на сайте продавали доступ более чем к 70 000 взломанных серверов по всему миру, то в 2017 году ресурс предлагал своим посетителям уже более 85 000 взломанных серверов.

Но, похоже, теперь xDedic все же пришел конец. Представители Европола и ФБР опубликовали пресс-релизы, в которых рассказали о международной операции, в ходе которой, 24 января, был перехвачен контроль над обоими доменами торговой площадки, сам xDedic был закрыт, а в распоряжении правоохранителей оказался список всех клиентов ресурса.

В операции принимали участие правоохранительные органы США, Бельгии, Германии, Украины, а также Европол, Налоговое управление США и Иммиграционная и таможенная полиция США. По оценке следователей, за годы работы xDedic поспособствовал совершению случаев мошенничества, общий ущерб от которых может достигать 68 000 000 долларов.

Сообщается, что инфраструктура ресурса, базировавшаяся в Бельгии и Украине, была «демонтирована». Эту информацию уже подтвердили представители украинской Киберполиции, которые также сообщили задержании и допросе трех подозреваемых.

https://www.europol.europa.eu/newsroom/news/xdedic-marketplace-shut-down-in-international-operation
https://www.justice[.]gov/usao-mdfl/pr/xdedic-marketplace-website-involved-illicit-sale-compromised-computer-credentials-and
https://cyberpolice.gov.ua/news/pravooxoronczi-zablokuvaly-robotu-najbilshogo-majdanchyku-z-prodazhu-konfidenczijnoyi-informacziyi-u-darknet-549/
https://www.zdnet.com/article/authorities-shut-down-xdedic-marketplace-for-buying-hacked-servers/

 

[lukas]

28 января на брифинге в Киеве глава Национальной полиции Украины генерал Сергей Князев и заместитель генерального прокурора Евгений Енин сообщили о ликвидации теневого рынка взломанных серверов xDedic и аресте трёх лиц, граждан Украины, причастных к его работе.

В сообщении пресс-службы МВД говорится:
«По результатам расследования, которое длилось почти год, международный департамент Генпрокуратуры и Нацполиция Украины, действуя в составе международной следственной группы вместе с Федеральной полицией королевства Бельгии, Германии, ФБР США, Европолом и Евроюстом, установили группу лиц, в том числе граждан Украины, которые незаконным путем получали доступ к десяткам тысяч персональных компьютеров и компьютерных сетей государственных институций, бизнес-структур и отдельных лиц. Эти данные в дальнейшем при помощи платформы xDedic реализовывались клиентам для использования в ряде правонарушений».

Создатели криминального ресурса оказались украинцами: «Трое украинцев создали и поддерживали деятельность известного в Darknet ресурса xDedic. Этот электронный магазин предоставлял возможность своим пользователям продавать и покупать доступ к взломанным серверам. Злоумышленники успели продать более 70 000 паролей и логинов удалённого доступа к серверам из 170 стран мира».

Хакерская деятельность осуществлялась путём взлома доступа через протокол удалённого рабочего стола (RDP). Чаще всего злоумышленники подбирали пароли к плохо защищённым серверам, используя обычный брутфорс. После этого серверы использоваться для самой разной киберкриминальной деятельности, от вымогательских атак, до хищения данных. Скомпрометированные RDP-серверы выставлялись на продажу.

Стать членом xDedic можно было только по рекомендации уже зарегистрированных пользователей, внеся депозит в $200 долларов. Участники могли продавать взломанные серверы и покупать их. xDedic привлекала до 30 000 пользователей ежемесячно. Стоимость одного сервера колебалась от 50 центов до $150. Отдельно продавались доступы, через которые можно было управлять налоговыми счетами жертв. Стоил такой сервер $10 000.
Почти три четверти скомпрометированных RDP-серверов были расположены в образовательных учреждениях, и больше всего пострадавших насчитывалось на территории США, Германии и Украины.

Трём задержанным украинцам — от 27 до 37 лет, ежегодно каждый из них зарабатывал $1,2 млн. Деньги они вкладывали в криптовалюту и периодически выводили через нелегальные обменники.
Правоохранители провели 12 обысков в Волынской, Сумской, Черновицкой, Львовской областях и в Киеве. Полиция изъяла компьютеры, сервера и мобильники.

В четверг, 24 января 2019 года, маркетплейс «xDedic» стал недоступен по решениям американского суда: доменные имена, необходимые для функционирования xDedic, были заблокированы, работа баз данных ресурса – остановлена. Пользователи, пытающиеся получить доступ к домену «xDedic», перенаправляются на правительственную страницу, сообщающую, что маркетплейс перешёл в режим офлайн.

В рамках соответствующего уголовного производства назначен ряд криминалистических экспертиз, по результатам которых будет приниматься решение об объявлении подозрений и выборе средств пресечения для украинских членов хакерской группы. Расследование в Бельгии, Украине и США продолжается.