Los ciberdelincuentes han secuestrado más de 35.000 dominios registrados mediante un ataque que los investigadores denominan «Patos sentados » . Este método permite a los atacantes secuestrar dominios sin acceso al proveedor de DNS o a la cuenta de registro del propietario.
En un ataque de patos sentados, los ciberdelincuentes explotan fallas de configuración a nivel de registrador y controles de propiedad insuficientes en los proveedores de DNS. Investigadores de Infoblox y Eclypsium han descubierto que cada día se pueden secuestrar más de un millón de dominios mediante este ataque.
Numerosos grupos de ciberdelincuentes llevan varios años utilizando este método para enviar spam, estafar, distribuir malware, phishing y robar datos. El problema fue documentado por primera vez en 2016 por Matthew Bryant, ingeniero de seguridad de Snap.
Para que un ataque tenga éxito, se deben cumplir varias condiciones: el dominio debe utilizar o delegar servicios DNS autorizados a un proveedor que no sea el registrador; un servidor DNS autorizado no debería poder resolver consultas; El proveedor de DNS debería permitirle reclamar derechos sobre un dominio sin verificar la propiedad.
Si se cumplen estas condiciones, los atacantes pueden apoderarse del dominio. Las variaciones del ataque incluyen delegación parcialmente incorrecta y redirección a otro proveedor de DNS. Si los servicios DNS o el alojamiento web de un dominio de destino caducan, un atacante puede reclamar la propiedad del dominio creando una cuenta con el proveedor de DNS.
Infoblox y Eclypsium han observado numerosos casos de explotación de patos sentados desde 2018 y 2019. Durante este tiempo se registraron más de 35.000 casos de secuestro de dominio mediante este método. Normalmente, los ciberdelincuentes mantenían los dominios durante un breve período de tiempo, pero en algunos casos, los dominios permanecían bajo el control de los atacantes hasta por un año.
Se sabe que varios grupos de hackers utilizan este ataque:
- “Spammy Bear” se hizo cargo de los dominios de GoDaddy a finales de 2018 para enviar spam.
- «Vacant Viper»: desde diciembre de 2019, secuestra anualmente alrededor de 2500 dominios para el sistema 404TDS, que distribuye IcedID y crea dominios C2 para malware.
- «VexTrio Viper»: desde principios de 2020, utiliza dominios para un sistema de distribución de tráfico masivo que facilita las operaciones de SocGholish y ClearFake.
Posteriormente, algunos dominios fueron secuestrados por varios grupos diferentes que los utilizaron para phishing, spam y creación de redes para distribuir malware.
Se recomienda a los propietarios de dominios que comprueben periódicamente sus configuraciones de DNS para detectar delegaciones incorrectas, especialmente en el caso de dominios más antiguos. Los registradores, a su vez, deben realizar controles proactivos y notificar a los propietarios sobre los problemas. Los reguladores y los organismos de normalización deberían desarrollar estrategias a largo plazo para abordar las vulnerabilidades del DNS y exigir a los proveedores de DNS que tomen medidas proactivas para reducir el riesgo de ataques de patos sentados.
Y si necesitáis una auditoría de ciberseguridad y podemos seros útiles, estamos a vuestra disposición en nuestro correo [email protected]
Deja una respuesta