Un proveedor de servicios de Internet europeo (ISP) alertó a Kaspersky Lab de la existencia de xDedic y trabajaron de forma conjunta en la investigación sobre el funcionamiento del foro.
xDedic parece estar dirigido por un grupo de habla rusa y cuenta
actualmente con 70.624 servidores hackeados vía Remote Desktop Protocol (RDP) y
tiene como fin vender los datos de acceso a terceros.
Muchos de los servidores proporcionan acceso a sitios web de servicios y productos de consumo muy conocidos y algunos tienen ubicado el software para el correo directo, la contabilidad financiera y procesos del punto de venta (POS). Además, pueden utilizarse como una plataforma de lanzamiento para ciberataques más grandes, mientras que los propietarios, incluyendo entidades gubernamentales, empresas y universidades no son conscientes de lo que está pasando.
Funcionamiento del servicio de cibercrimen
- El proceso es sencillo y de gran calado: los hackers irrumpen en los servidores, a menudo a través de ataques de “fuerza bruta” (tratan de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que coincide), y se llevan las credenciales para el mercado xDedic. Se analiza la configuración RDP de los servidores hackeados, la memoria, software, historial de navegación y más – todas las características que los clientes puedan buscar a través de antes de comprar. Después, lo añaden a un inventario online cada vez mayor que incluye el acceso a:
- Servidores que pertenecen a redes del gobierno, empresas y universidades
- Servidores para tener acceso a sitios web o de alojamiento incluyendo juegos, apuestas, citas, compras online, banca online, redes de telefonía móvil, proveedores de Internet y los navegadores
- Los servidores con software preinstalado que podrían facilitar un ataque, incluyendo el correo directo, el software financiero y de punto de venta
- El acceso a los servidores se vende a partir de 5,30 euros cada uno y los miembros del foro xDedic pueden entrar a todos los datos del servidor y utilizarlo como una plataforma para nuevos ataques. Esto podría incluir potencialmente ataques dirigidos, malware, DDoS, phishing y ataques de ingeniería social, entre otros.
- Ya se ha informado a los propietarios legítimos de los servidores; algunos son organizaciones de renombre como redes del gobierno, empresas y universidades cuya infraestructura TI se ha visto comprometida. Si la campaña se ha completado, los ciberatacantes pueden poner a la venta una copia del acceso al servidor y todo el proceso puede comenzar de nuevo.
Kaspersky Lab recomienda a las organizaciones:
- Instalar una solución de seguridad robusta como parte de un enfoque integral, de múltiples capas para la seguridad de TI de infraestructura
- Hacer cumplir el uso de contraseñas robustas como parte del proceso de autenticación de servidor
- Implementar un proceso continuo de gestión de parches
- Llevar a cabo una auditoría de seguridad periódica de la infraestructura TI
- Tener en cuenta la inversión en los servicios de inteligencia de amenazas que mantendrá informada a la organización de las ciberamenazas emergentes y ofrece una visión desde el punto de vista penal para ayudarlos a evaluar su nivel de riesgo.
