Seguridad Informática

Detectan mercado online con 70.000 servidores hackeados

Kaspersky Lab ha analizado un foro online denominado xDedic, en el que ciberdelincuentes compran y venden el acceso a servidores comprometidos a partir de 5,30 euros cada uno.

xDedic parece estar dirigido por un grupo de habla rusa y cuenta actualmente con 70.624 servidores hackeados vía Remote Desktop Protocol (RDP) y tiene como fin vender los datos de acceso a terceros.

Muchos de los servidores proporcionan acceso a sitios web de servicios y productos de consumo muy conocidos y algunos tienen ubicado el software para el correo directo, la contabilidad financiera y procesos del punto de venta (POS). Además, pueden utilizarse como una plataforma de lanzamiento para ciberataques más grandes, mientras que los propietarios, incluyendo entidades gubernamentales, empresas y universidades no son conscientes de lo que está pasando.

xDedic es un buen ejemplo de cómo es el nuevo mercado cibercriminal: bien organizado, con apoyo de ciberdelincuentes de todo el mundo, que facilita la entrada a grupos APTs que operan de forma más económica y con una infraestructura de organización que mantiene sus cibercrímenes ocultos durante el mayor tiempo posible.

Un proveedor de servicios de Internet europeo (ISP) alertó a Kaspersky Lab de la existencia de xDedic y trabajaron de forma conjunta en la investigación sobre el funcionamiento del foro. El proceso es sencillo y de gran calado: los hackers irrumpen en los servidores, a menudo a través de ataques de “fuerza bruta” (tratan de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que coincide), y se llevan las credenciales para el mercado xDedic. Se analiza la configuración RDP de los servidores hackeados, la memoria, software, historial de navegación y más – todas las características que los clientes puedan buscar a través de antes de comprar. Después, lo añaden a un inventario online cada vez mayor que incluye el acceso a:

• Servidores que pertenecen a redes del gobierno, empresas y universidades
• Servidores para tener acceso a sitios web o de alojamiento incluyendo juegos, apuestas, citas, compras online, banca online, redes de telefonía móvil, proveedores de Internet y los navegadores
• Los servidores con software preinstalado que podrían facilitar un ataque, incluyendo el correo directo, el software financiero y de punto de venta

El acceso a los servidores se vende a partir de 5,30 euros cada uno y los miembros del foro xDedic pueden entrar a todos los datos del servidor y utilizarlo como una plataforma para nuevos ataques. Esto podría incluir potencialmente ataques dirigidos, malware, DDoS, phishing y ataques de ingeniería social, entre otros.

Ya se ha informado a los propietarios legítimos de los servidores; algunos son organizaciones de renombre como redes del gobierno, empresas y universidades cuya infraestructura TI se ha visto comprometida. Si la campaña se ha completado, los ciberatacantes pueden poner a la venta una copia del acceso al servidor y todo el proceso puede comenzar de nuevo.

Parece que el mercado xDedic comenzó a estar operativo en 2014 y ha crecido significativamente en popularidad desde mediados de 2015. En mayo de 2016, contaba con 70.624 servidores en venta de 173 países procedente de 416 vendedores diferentes. Los 10 países más afectados son: Brasil, China, Rusia, India, España, Italia, Francia, Australia, África del Sur y Malasia.

“XDedic es una confirmación más de que el ciberdelito-as-a-service se está expandiendo a través de nuevos ecosistemas y plataformas de operaciones comerciales. Su existencia hace que sea más fácil que nunca llevar a cabo ciberataques en todo el mundo, incluso de atacantes maliciosos poco cualificados, de forma económica, rápida y eficaz. Las víctimas finales no son sólo los consumidores u organizaciones atacadas, sino también los propietarios de los servidores”, afirmo Costin Raiu, director, del GREAT de Kaspersky Lab.

Kaspersky Lab recomienda a las organizaciones:

• Instalar una solución de seguridad robusta como parte de un enfoque integral, de múltiples capas para la seguridad de TI de infraestructura
• Hacer cumplir el uso de contraseñas robustas como parte del proceso de autenticación de servidor
• Implementar un proceso continuo de gestión de parches
• Llevar a cabo una auditoría de seguridad periódica de la infraestructura TI
• Tener en cuenta la inversión en los servicios de inteligencia de amenazas que mantendrá informada a la organización de las ciberamenazas emergentes y ofrece una visión desde el punto de vista penal para ayudarlos a evaluar su nivel de riesgo.

Diario TI

error: Proteccion !!