Kaspersky Lab: más de 70.000 servidores hackeados
Brasil, México, Colombia y Argentina entre el los 20 países más afectados. Entidades gubernamentales, corporaciones y universidades, entre los propietarios de servidores comprometidos.
Los analistas de Kaspersky Lab han investigado un foro global donde los delincuentes cibernéticos pueden comprar y vender acceso a servidores comprometidos por tan solo US$6 cada uno. El mercado xDedic, que parece ser dirigido por un grupo de habla rusa, cuenta actualmente con 70.624 servidores de Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés) hackeados para la venta. Muchos de los servidores albergan o proporcionan acceso a sitios web y servicios de consumo popular y algunos tienen software instalado para correo directo, contabilidad financiera y procesamiento de Punto de Venta (PoS por sus siglas en inglés). Estos se pueden utilizar para atacar las infraestructuras de los propietarios o como plataforma de lanzamiento para ataques más amplios, mientras que los propietarios, entre ellos entidades gubernamentales, corporaciones y universidades, tienen poca o ninguna idea de lo que está pasando.
xDedic es un poderoso ejemplo de un nuevo tipo de mercado para ciberdelincuentes: bien organizado, con apoyo y que ofrece a todos desde ciberdelincuentes principiantes hasta grupos APT (de amenaza persistente avanzada), acceso rápido, barato y fácil a una infraestructura de organización legítima que mantiene sus delitos por debajo del radar durante todo el tiempo que sea posible.
Un proveedor de servicios de Internet Europeo (ISP) alertó a Kaspersky Lab de la existencia de xDedic y las empresas trabajaron juntas para investigar cómo funciona el foro. El proceso es simple y exhaustivo: los hackers irrumpen en los servidores, a menudo a través de ataques de fuerza bruta, y traen las credenciales a xDedic. Los servidores hackeados se revisan para su configuración RDP, memoria, software, historial de navegación y más – todas las características que los clientes pueden investigar antes de comprar. Después de eso, se añaden a un inventario en línea creciente que incluye el acceso a:
Servidores que pertenecen a redes gubernamentales, corporaciones y universidades
Servidores etiquetados para tener acceso a sitios web o de alojamiento de ciertos sitios web y servicios, los cuales incluyen juegos, apuestas, citas, compras en línea, banca en línea y pagos, redes de telefonía móvil, proveedores de Internet y navegadores
Servidores con software preinstalado que podrían facilitar un ataque, incluyendo correo directo, software financiero y de punto de venta
Todo ello apoyado por una serie de herramientas de hackeo y de información de sistema
A partir de tan solo $6 dólares por servidor, los miembros del foro xDedic pueden acceder a todos los datos de un servidor y también utilizarlo como una plataforma para más ataques maliciosos. Esto podría incluir potencialmente ataques dirigidos, malware, DDoS, phishing, ataques de ingeniería social y adware, entre otros.
Los propietarios legítimos de los servidores, organizaciones de renombre entre las cuales redes del gobierno, corporaciones y universidades no están enterados de que su infraestructura de TI se ha visto comprometida. Además, una vez que una campaña se ha completado, los atacantes pueden poner nuevamente a la venta el acceso al servidor y todo el proceso puede comenzar de nuevo.
El mercado xDedic parece haber iniciado sus actividades comerciales en algún momento de 2014, y ha crecido significativamente en popularidad desde mediados del año 2015. En mayo de 2016, tenía una lista de 70,624 servidores de 173 países a la venta, publicados en los nombres de 416 vendedores diferentes. Los 10 países más afectados son: Brasil, China, Rusia, India, España, Italia, Francia, Australia, Sudáfrica y Malasia. Con respecto a América Latina, México figura en el doceavo lugar de países afectados seguido por Colombia y Argentina, que ocupan los lugares 13 y 19, respectivamente.
El grupo detrás xDedic parece ser de habla rusa, y afirma que se limita a ofrecer una plataforma comercial y que no tiene vínculos o afiliaciones con los vendedores.
Kaspersky Lab recomienda a las organizaciones:
Instalar una solución de seguridad robusta como parte de un enfoque integral y estratificado de seguridad para la infraestructura de TI
Imponer el uso de contraseñas seguras como parte del proceso de autenticación del servidor
Implementar un proceso continuo de gestión de parches
Llevar a cabo una auditoría de seguridad periódica de la infraestructura de TI
Considerar la inversión en servicios de inteligencia de amenazas que mantendrá informada a la organización de las amenazas emergentes y ofrecer una visión de la perspectiva delictiva para ayudarla a evaluar su nivel de riesgo.
Artículos relacionados
Los desafíos de la innovación y el liderazgo marcaron una nueva edición de Experiencia IDEA Management
Bajo el lema “Argentina en movimiento. Marquemos el beat”, la novena edición del evento convocó a líderes empresariales, emprendedores y especialistas para analizar las tendencias que están redefiniendo el management y el mundo del trabajo.
Gire, protagonista de 2025, lanza Aura, una solución integral para la gestión de cobranzas
En octubre de 2025, Gire dio un paso clave en su proceso de transformación con el lanzamiento de Aura, una plataforma integral orientada a simplificar la gestión de cobranzas y mejorar la eficiencia operativa de las empresas.
Toyota amplía su line-up de electrificados en Argentina
Beyond Zero es la visión global de Toyota para alcanzar la neutralidad de carbono e impactar positivamente en el planeta y la sociedad. La nueva RAV4 PHEV y el bZ4X BEV se suman a la oferta de electrificados de la marca.