Una investigación conjunta entre Kaspersky Lab y European ISP revela la existencia del foro global xDedic, donde los hackers pueden comprar y vender acceso a servidores comprometidos por tan solo seis dólares. El mercado xDedic cuenta con 70,624 servidores de Protocolo de Escritorio Remoto (RDP) hackeados para la venta.

Los servidores afectados albergan o proporcionan acceso a sitios web y servicios de consumo, cuentan con software para correo directo, contabilidad financiera, procesamiento de punto de venta (PoS) entre otros. Además de ser utilizados para atacar la infraestructura de los propietarios de los servidores, también pueden tomarse como plataformas de lanzamiento para otros ataques.

xDedic funciona de manera simple pero exhaustiva, los hackers irrumpen en los servidores, a menudo a través de ataques de fuerza bruta, y traen las credenciales a xDedic. Los servidores hackeados se revisan para su configuración RDP, memoria, software, historial de navegación y más. Después se añaden a un inventario en línea que incluye el acceso a servidores de redes gubernamentales, corporaciones, universidades, servidores etiquetados para acceso a sitios web o de alojamiento de sitios web y servicios como juegos, apuestas, citas, compras en línea, banca en línea, redes de telefonía móvil, proveedores de Internet y navegadores. Una vez concluida la campaña, los atacantes pueden poner nuevamente a la venta el acceso al servidor y comenzar nuevamente el proceso.

Listado de países más afectados hasta mayo de 2016:

xDedic

País Número de ofertas
Brasil 6,540
China 5,023
Rusia 4,020
India 3,488
España 3,155
Italia 3,199
Francia 2,474
Australia 2,448
Sudáfrica 2,438
Malasia 2,140
Gran Bretaña 1,767
México 1,460
Colombia 1,413
USA 1,395
Alemania 1,296
Polonia 1,292
Taiwán 1,236
Ucrania 1,224
Argentina 1,217
Turquía 1,204
Otros 22,275

A manera de ejemplo, cualquiera podría ingresar al foro de xDedic, abrir una cuenta, llenarla de Bitcoins y comprar servidorescon programas de punto de venta. Después, instalar programas maliciosos como Backoff para recopilar números de tarjetas de crédito. Lamentablemente, los propietarios de los servidores probablemente ignorarían que sus servidores son secuestrados una y otra vez para diferentes ataques.

Para evitar ser uno de los servidores hackeados en venta, Kaspersky Labs proporcionó algunas recomendaciones de protección:

  • Instalar una solución de seguridad robusta como parte del enfoque integral de seguridad para la infraestructura de TI.
  • Usar contraseñas seguras como parte del proceso de autenticación del servidor.
  • Implementar un proceso continuo de gestión de parches y actualizaciones.
  • Realizar una auditoría de seguridad periódica de la infraestructura de TI.
  • Considerar la inversión en servicios de inteligencia de amenazas que mantendrá informada a la organización para ayudarla a evaluar su nivel de riesgo.

Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto al apoyo que Adaptix Networks puede brindar a su empresa en temas de Seguridad, así como los casos de éxito con nuestros clientes.