xDedic, el mercado sumergido con más de 70.000 servidores hackeados

Los expertos de Kaspersky Lab han analizado un foro online en el que los ciberdelincuentes compran y venden el acceso a servidores comprometidos a partir de 5,30 euros cada uno. Este mercado, llamado xDedic, parece estar dirigido por un grupo de habla rusa y cuenta actualmente con 70.624 servidores hackeados vía Remote Desktop Protocol (RDP) y tiene como fin vender los datos de acceso a terceros.

Muchos de los servidores proporcionan acceso a sitios web de servicios y productos de consumo muy conocidos y algunos tienen ubicado el software para el correo directo, la contabilidad financiera y procesos del punto de venta (POS). Además, pueden utilizarse como una plataforma de lanzamiento para ciberataques más grandes, mientras que los propietarios, incluyendo entidades gubernamentales, empresas y universidades no son conscientes de lo que está pasando.

xDedic es un buen ejemplo de cómo es el nuevo mercado cibercriminal: bien organizado, con apoyo de ciberdelincuentes de todo el mundo, que facilita la entrada a grupos APTs que operan de forma más económica y con una infraestructura de organización que mantiene sus cibercrímenes ocultos durante el mayor tiempo posible.

xDedic

Un proveedor de servicios de Internet europeo (ISP) alertó a Kaspersky Lab de la existencia de xDedic y trabajaron de forma conjunta en la investigación sobre el funcionamiento del foro. El proceso es sencillo y de gran calado: los hackers irrumpen en los servidores, a menudo a través de ataques de “fuerza bruta” (tratan de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que coincide), y se llevan las credenciales para el mercado xDedic. Se analiza la configuración RDP de los servidores hackeados, la memoria, software, historial de navegación y más – todas las características que los clientes puedan buscar a través de antes de comprar. Después, lo añaden a un inventario online cada vez mayor que incluye el acceso a:

• Servidores que pertenecen a redes del gobierno, empresas y universidades
• Servidores para tener acceso a sitios web o de alojamiento incluyendo juegos, apuestas, citas, compras online, banca online, redes de telefonía móvil, proveedores de Internet y los navegadores
• Los servidores con software preinstalado que podrían facilitar un ataque, incluyendo el correo directo, el software financiero y de punto de venta

El acceso a los servidores se vende a partir de 5,30 euros cada uno y los miembros del foro xDedic pueden entrar a todos los datos del servidor y utilizarlo como una plataforma para nuevos ataques. Esto podría incluir potencialmente ataques dirigidos, malware, DDoS, phishing y ataques de ingeniería social, entre otros.
Parece que el mercado xDedic comenzó a estar operativo en 2014 y ha crecido significativamente en popularidad desde mediados de 2015. En mayo de 2016, contaba con 70.624 servidores en venta de 173 países procedente de 416 vendedores diferentes. Los 10 países más afectados son: Brasil, China, Rusia, India, España, Italia, Francia, Australia, África del Sur y Malasia.