Investigación

xDedic: El sombrío mundo de los servidores hackeados en venta

 Download PDF version

En los últimos años, en las profundidades oscuras de Internet ha florecido un nuevo tipo de mercado clandestino.

Su nombre, corto y cifrado, no nos dice mucho: xDedic. Sin embargo, en este mercado marginal se encuentran a la venta más de 70.000 servidores hackeados en todas partes del mundo.

xDedic: El sombrío mundo de los servidores hackeados en venta

Ingreso al foro de xDedic

Desde redes gubernamentales hasta redes corporativas, desde servidores web hasta bases de datos, xDedic es un mercado que ofrece de todo. Y lo mejor de todo es que es barato: el precio de acceso a un servidor en la red gubernamental de un país de la Unión Europea no cuesta más de 6USD.

Una vez hecho el pago, el comprador malicioso puede acceder a todos los datos en ese servidor y a la posibilidad de usarlo para lanzar ataques. Es el sueño de todo hacker: acceso barato, rápido y simplificado a las víctimas, además de nuevas oportunidades para los ciberdelincuentes y atacantes expertos.

xDedic: El sombrío mundo de los servidores hackeados en venta

Foro de compra-venta de servidores

La investigación realizada de forma conjunta entre Kaspersky Lab y European ISP nos permitió recopilar datos sobre las víctimas y descubrir la forma en que funciona este mercado.

En mayo de 2016, contabilizamos 70.624 servidores disponibles a la venta, desde 416 vendedores únicos en 173 países afectados. En marzo de este mismo año, esa cifra rondaba los 55.000, lo que es un claro indicio de que la base de datos de usuarios y servidores se mantiene y actualiza de forma cuidadosa.

xDedic: El sombrío mundo de los servidores hackeados en venta

Principales países con servidores en venta

Curiosamente, los desarrolladores de xDedic no venden nada; en lugar de ello, han creado un mercado donde una red de afiliados es la que vende accesos a servidores capturados. A decir verdad, los responsables de xDedic han creado lo que parece ser un servicio de “calidad”, pues el foro incluye soporte técnico en línea, herramientas especiales para parchar servidores hackeados para acceder a sesiones RDP múltiples y a herramientas de perfilaje para obtener información sobre los servidores hackeados en la base de datos xDedic.

xDedic: El sombrío mundo de los servidores hackeados en venta

Los 10 principales vendedores (mayo de 2016)

¿Quiénes son los vendedores xDedic que aparecen en la lista de arriba? Hemos logrado identificar un programa malicioso muy específico (SCCLIENT) de uno de ellos y obtener información de uno de sus servidores de administración. Esto nos permitió echar un vistazo a las operaciones de una de estas entidades, que por su número de víctimas, nos hace sospechar que se trata de Narko, xLeon o sirr.

xDedic: El sombrío mundo de los servidores hackeados en venta

Troyano SCCLIENT: Información de las víctimas a partir del drenaje (primeras 12 horas)

El programa de perfilaje diseñado por los desarrolladores de xDedic también recopila información sobre los programas instalados en el servidor (juegos de azar, compras y pagos en línea).

Al parecer, hay un marcado interés en programas de contabilidad, de informes de impuestos y de puntos de venta (PoS), que pueden abrir muchas oportunidades para los ciberpiratas.

Herramientas spam y de ataque Programas financieros y de juegos de azar Programa PoS
Advanced Mass Sender
Bitvise Tunnelier
DU Brute
LexisNexis Spam Soft
LexisNexis Proxifier
Proxifier
Spam Soft
Full Tilt Poker
iPoker Network
UltraTax 2010 (2011,..,2015)
Abacus Tax Software
CCH tax14 (tax15)
CCH Small Firm Services
ChoicePoint
ProSeries TAX (2014,2015)
ProSystem fx Tax
TAX Software
2015 Tax Praparation
Tax Management Inc.
Lacerte Tax
PosWindows
BrasilPOS
POS AccuPOS
POS Active-Charge
POS Amigo
POS Catapult
POS Firefly
POS ePOS
POS EasiPos
POS Revel
POS Software (Genérico)
POS Toast
POS QBPOS
PosTerminal
POS kiosk.exe
POS roi.exe
POS PTService.exe
POS pxpp.exe
POS w3wp.exe
POS DpsEftX.ocx
POS AxUpdatePortal.exe
POS callerIdserver.exe
POS PURCHASE.exe
POS XPS.exe
POS XChgrSrv.exe

En el transcurso de la investigación, contamos 453 servidores de 67 países con programas de puesto de ventas (PoS) instalados:

xDedic: El sombrío mundo de los servidores hackeados en venta

Servidores para programas PoS (mayo de 2016)

Por ejemplo, un ciberpirata podría ingresar al foro de xDedic, abrir una cuenta, llenarla de Bitcoins y comprar varios servidores que tengan instalados programas de puesto de ventas. Después, podrá instalar programas maliciosos para puestos de venta, como Backoff para recopilar números de tarjetas de crédito. La verdad es que las posibilidades son realmente infinitas.

Kaspersky Lab ha informado sobre este problema a las autoridades correspondientes y está cooperando en una investigación en curso.

Para leer nuestro informe completo sobre xDedic, que incluye IOCs, descargue aquí el documento PDF xDedic Marketplace Analysis.

* Para más información sobre Kaspersky Lab Intelligence Services, informes de amenazas y análisis personalizado de amenazas escriba a intelreports@kaspersky.com

xDedic: El sombrío mundo de los servidores hackeados en venta

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

  1. Miguel

    Quisiera un curso como ser un hacker

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada