16 jun 2016

xDedic: servidores hackeados en venta

En los últimos años ha florecido un nuevo tipo de mercado clandestino. Su nombre, corto y cifrado, no nos dice mucho: xDedic. Sin embargo, en este mercado marginal se encuentran a la venta más de 70.000 servidores hackeados en todas partes del mundo.
Desde redes gubernamentales hasta redes corporativas, desde servidores web hasta bases de datos, xDedic es un mercado que ofrece de todo. Y lo mejor de todo es que es barato: el precio de acceso a un servidor en la red gubernamental de un país de la Unión Europea no cuesta más de 6USD.
Una vez hecho el pago, el comprador malicioso puede acceder a todos los datos en ese servidor y a la posibilidad de usarlo para lanzar ataques. Es el sueño de todo delincuente: acceso barato, rápido y simplificado a las víctimas, además de nuevas oportunidades para los ciberdelincuentes y atacantes expertos.

La investigación [PDF] realizada de forma conjunta entre Kaspersky Lab y European ISP permitió recopilar datos sobre las víctimas y descubrir la forma en que funciona este mercado.

En mayo de 2016, contabilizamos 70.624 servidores disponibles a la venta, desde 416 vendedores únicos en 173 países afectados. En marzo de este mismo año, esa cifra rondaba los 55.000, lo que es un claro indicio de que la base de datos de usuarios y servidores se mantiene y actualiza de forma cuidadosa.

Curiosamente, los desarrolladores de xDedic no venden nada; en lugar de ello, han creado un mercado donde una red de afiliados es la que vende accesos a servidores capturados. A decir verdad, los responsables de xDedic han creado lo que parece ser un servicio de "calidad", pues el foro incluye soporte técnico en línea, herramientas especiales para parchar servidores hackeados para acceder a sesiones RDP múltiples y a herramientas de perfilaje para obtener información sobre los servidores hackeados en la base de datos xDedic.

¿Quiénes son los vendedores xDedic que aparecen en la lista de arriba? Hemos logrado identificar un programa malicioso muy específico (SCCLIENT) de uno de ellos y obtener información de uno de sus servidores de administración. Esto nos permitió echar un vistazo a las operaciones de una de estas entidades, que por su número de víctimas, nos hace sospechar que se trata de Narko, xLeon o sirr.

El programa de perfilaje diseñado por los desarrolladores de xDedic también recopila información sobre los programas instalados en el servidor (juegos de azar, compras y pagos en línea). Al parecer, hay un marcado interés en programas de contabilidad, de informes de impuestos y de puntos de venta (PoS), que pueden abrir muchas oportunidades para los delincuentes

En el transcurso de la investigación, contamos 453 servidores de 67 países con programas de puesto de ventas (PoS) instalados:
Por ejemplo, un delincuente podría ingresar al foro de xDedic, abrir una cuenta, llenarla de Bitcoins y comprar varios servidores que tengan instalados programas de puesto de ventas. Después, podrá instalar programas maliciosos para puestos de venta, como Backoff para recopilar números de tarjetas de crédito. La verdad es que las posibilidades son realmente infinitas.

Fuente: Securelist

Suscríbete a nuestro Boletín

1 comentario:

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!