Los analistas de Kaspersky Lab han investigado un foro global donde los delincuentes cibernéticos pueden comprar y vender acceso a servidores comprometidos por tan solo $6 dólares cada uno. El mercado xDedic, que parece ser dirigido por un grupo de habla rusa, cuenta actualmente con 70.624 servidores de Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés) hackeados para la venta. Muchos de los servidores albergan o proporcionan acceso a sitios web y servicios de consumo popular y algunos tienen software instalado para correo directo, contabilidad financiera y procesamiento de Punto de Venta (PoS por sus siglas en inglés). Estos se pueden utilizar para atacar las infraestructuras de los propietarios o como plataforma de lanzamiento para ataques más amplios, mientras que los propietarios, entre ellos entidades gubernamentales, corporaciones y universidades, tienen poca o ninguna idea de lo que está pasando.
xDedic es un poderoso ejemplo de un nuevo tipo de mercado para ciberdelincuentes: bien organizado, con apoyo y que ofrece a todos desde ciberdelincuentes principiantes hasta grupos APT (de amenaza persistente avanzada), acceso rápido, barato y fácil a una infraestructura de organización legítima que mantiene sus delitos por debajo del radar durante todo el tiempo que sea posible.
Un proveedor de servicios de Internet Europeo (ISP) alertó a Kaspersky Lab de la existencia de xDedic y las empresas trabajaron juntas para investigar cómo funciona el foro. El proceso es simple y exhaustivo: los hackers irrumpen en los servidores, a menudo a través de ataques de fuerza bruta, y traen las credenciales a xDedic. Los servidores hackeados se revisan para su configuración RDP, memoria, software, historial de navegación y más – todas las características que los clientes pueden investigar antes de comprar. Después de eso, se añaden a un inventario en línea creciente que incluye el acceso a:
- Servidores que pertenecen a redes gubernamentales, corporaciones y universidades
- Servidores etiquetados para tener acceso a sitios web o de alojamiento de ciertos sitios web y servicios, los cuales incluyen juegos, apuestas, citas, compras en línea, banca en línea y pagos, redes de telefonía móvil, proveedores de Internet y navegadores
- Servidores con software preinstalado que podrían facilitar un ataque, incluyendo correo directo, software financiero y de punto de venta
- Todo ello apoyado por una serie de herramientas de hackeo y de información de sistema.
A partir de tan solo $6 dólares por servidor, los miembros del foro xDedic pueden acceder a todos los datos de un servidor y también utilizarlo como una plataforma para más ataques maliciosos. Esto podría incluir potencialmente ataques dirigidos, malware, DDoS, phishing, ataques de ingeniería social y adware, entre otros.
Los propietarios legítimos de los servidores, organizaciones de renombre entre las cuales redes del gobierno, corporaciones y universidades no están enterados de que su infraestructura de TI se ha visto comprometida. Además, una vez que una campaña se ha completado, los atacantes pueden poner nuevamente a la venta el acceso al servidor y todo el proceso puede comenzar de nuevo.
El mercado xDedic parece haber iniciado sus actividades comerciales en algún momento de 2014, y ha crecido significativamente en popularidad desde mediados del año 2015. En mayo de 2016, tenía una lista de 70,624 servidores de 173 países a la venta, publicados en los nombres de 416 vendedores diferentes. Los 10 países más afectados son: Brasil, China, Rusia, India, España, Italia, Francia, Australia, Sudáfrica y Malasia. Con respecto a América Latina, México figura en el doceavo lugar de países afectados seguido por Colombia y Argentina, que ocupan los lugares 13 y 19, respectivamente.
El grupo detrás xDedic parece ser de habla rusa, y afirma que se limita a ofrecer una plataforma comercial y que no tiene vínculos o afiliaciones con los vendedores.
“XDedic es una confirmación más de que el delito cibernético como servicio se está expandiendo a través de la adición de ecosistemas comerciales y plataformas de negocios. Su existencia hace que sea más fácil que nunca para todo el mundo, desde atacantes maliciosos con poca experiencia hasta APTs respaldadas por estados nación que participan en ataques potencialmente devastadores de una manera barata, rápida y eficaz. Las víctimas finales no son sólo los consumidores u organizaciones específicas en un ataque, sino también los propietarios desprevenidos de los servidores: es muy probable que ignoren completamente que sus servidores han sido secuestrados una y otra vez para diferentes ataques, todos realizados justo debajo de sus narices”, dijo Costin Raiu, Director del Equipo de Análisis e Investigación Global de Kaspersky Lab.
Kaspersky Lab recomienda a las organizaciones:
- Instalar una solución de seguridad robusta como parte de un enfoque integral y estratificado de seguridad para la infraestructura de TI
- Imponer el uso de contraseñas seguras como parte del proceso de autenticación del servidor
- Implementar un proceso continuo de gestión de parches
- Llevar a cabo una auditoría de seguridad periódica de la infraestructura de TI
- Considerar la inversión en servicios de inteligencia de amenazas que mantendrá informada a la organización de las amenazas emergentes y ofrecer una visión de la perspectiva delictiva para ayudarla a evaluar su nivel de riesgo.
Información adicional sobre xDedic está disponible en https://securelist.lat/featured/83389/xdedic-the-shady-world-of-hacked-servers-for-sale/