xDedic: El sombrío mundo de los servidores hackeados en venta

 Download PDF version

En los últimos años, en las profundidades oscuras de Internet ha florecido un nuevo tipo de mercado clandestino.

Su nombre, corto y cifrado, no nos dice mucho: xDedic. Sin embargo, en este mercado marginal se encuentran a la venta más de 70.000 servidores hackeados en todas partes del mundo.

Ingreso al foro de xDedic

Desde redes gubernamentales hasta redes corporativas, desde servidores web hasta bases de datos, xDedic es un mercado que ofrece de todo. Y lo mejor de todo es que es barato: el precio de acceso a un servidor en la red gubernamental de un país de la Unión Europea no cuesta más de 6USD.

Una vez hecho el pago, el comprador malicioso puede acceder a todos los datos en ese servidor y a la posibilidad de usarlo para lanzar ataques. Es el sueño de todo hacker: acceso barato, rápido y simplificado a las víctimas, además de nuevas oportunidades para los ciberdelincuentes y atacantes expertos.

Foro de compra-venta de servidores

La investigación realizada de forma conjunta entre Kaspersky Lab y European ISP nos permitió recopilar datos sobre las víctimas y descubrir la forma en que funciona este mercado.

En mayo de 2016, contabilizamos 70.624 servidores disponibles a la venta, desde 416 vendedores únicos en 173 países afectados. En marzo de este mismo año, esa cifra rondaba los 55.000, lo que es un claro indicio de que la base de datos de usuarios y servidores se mantiene y actualiza de forma cuidadosa.

Principales países con servidores en venta

Curiosamente, los desarrolladores de xDedic no venden nada; en lugar de ello, han creado un mercado donde una red de afiliados es la que vende accesos a servidores capturados. A decir verdad, los responsables de xDedic han creado lo que parece ser un servicio de “calidad”, pues el foro incluye soporte técnico en línea, herramientas especiales para parchar servidores hackeados para acceder a sesiones RDP múltiples y a herramientas de perfilaje para obtener información sobre los servidores hackeados en la base de datos xDedic.

Los 10 principales vendedores (mayo de 2016)

¿Quiénes son los vendedores xDedic que aparecen en la lista de arriba? Hemos logrado identificar un programa malicioso muy específico (SCCLIENT) de uno de ellos y obtener información de uno de sus servidores de administración. Esto nos permitió echar un vistazo a las operaciones de una de estas entidades, que por su número de víctimas, nos hace sospechar que se trata de Narko, xLeon o sirr.

Troyano SCCLIENT: Información de las víctimas a partir del drenaje (primeras 12 horas)

El programa de perfilaje diseñado por los desarrolladores de xDedic también recopila información sobre los programas instalados en el servidor (juegos de azar, compras y pagos en línea).

Al parecer, hay un marcado interés en programas de contabilidad, de informes de impuestos y de puntos de venta (PoS), que pueden abrir muchas oportunidades para los ciberpiratas.

En el transcurso de la investigación, contamos 453 servidores de 67 países con programas de puesto de ventas (PoS) instalados:

Servidores para programas PoS (mayo de 2016)

Por ejemplo, un ciberpirata podría ingresar al foro de xDedic, abrir una cuenta, llenarla de Bitcoins y comprar varios servidores que tengan instalados programas de puesto de ventas. Después, podrá instalar programas maliciosos para puestos de venta, como Backoff para recopilar números de tarjetas de crédito. La verdad es que las posibilidades son realmente infinitas.

Kaspersky Lab ha informado sobre este problema a las autoridades correspondientes y está cooperando en una investigación en curso.

Para leer nuestro informe completo sobre xDedic, que incluye IOCs, descargue aquí el documento PDF xDedic Marketplace Analysis.

* Para más información sobre Kaspersky Lab Intelligence Services, informes de amenazas y análisis personalizado de amenazas escriba a intelreports@kaspersky.com