(https://i.postimg.cc/T1TKxbMq/Malware.png) (https://postimages.org/)
En menos de medio año, los cibercriminales han secuestrado 70.000 dominios de un estimado de 800.000 que son vulnerables a un simple ataque de Sitting Duck "patos sentados". Los investigadores de seguridad habían advertido que los ataques eran inminentes a menos que los propietarios implementaran una solución simple. Sin embargo, pocos propietarios lo hicieron.
En julio de 2024, los investigadores de Infoblox Threat Intel alertaron sobre la vulnerabilidad de los patos sentados, poco denunciada y fácilmente explotable, que afecta a millones de sitios web.
Desde entonces, al menos 70.000 dominios rastreados por los investigadores han caído en manos de los atacantes.
Entre ellos se encuentran las URL que pertenecen a CBS Interactive, McDonald's Corporation, JM Eagle y Mississippi Baptist Health Systems. Los piratas informáticos incluso secuestraron Missouri.com, según un nuevo informe.
"Los dominios víctimas incluyen marcas conocidas, organizaciones sin fines de lucro y entidades gubernamentales", dijo Infoblox Threat Intel.
Todo lo que los atacantes deben hacer es aprovechar las configuraciones incorrectas de la configuración de DNS para un dominio específico. Estos ataques son fáciles de ejecutar y difíciles de detectar. Sin embargo, la vulnerabilidad de configuración, conocida como "delegación lame", no está reconocida como una CVE (vulnerabilidad y exposición común) oficial por las autoridades.
Algunos sitios web secuestrados cambian de manos con frecuencia, ya que los actores de amenazas compiten y roban los mismos dominios entre sí.
¿Cómo funciona?
Como informó anteriormente Cybernews, el ataque Sitting Duck requiere algunas condiciones. En primer lugar, el nombre de dominio debe estar registrado con un proveedor (registrador), pero luego el otro proveedor maneja los servicios DNS reales para ese dominio.
Luego, la delegación tiene que ser "poco confiable" (obsoleta o mal administrada). Esto significa que el servidor DNS no tiene información sobre el sitio web y no puede resolver su dirección.
Fundamentalmente, el proveedor de DNS en sí debe ser "explotable" y permitir a los atacantes "reclamar" los dominios y configurar nuevos registros DNS sin acceder a la cuenta del propietario real.
Parece que los servidores de nombres DNS mal configurados son muy comunes y permiten a los actores maliciosos obtener el control total del dominio al tomar el control de su configuración DNS.
"En general, estimamos que más de 1 millón de dominios registrados son vulnerables a un ataque Sitting Duck en un día determinado. La mayoría de los dominios vulnerables que hemos descubierto tienen servidores de nombres asignados a uno de un pequeño puñado de proveedores de DNS", advierten los investigadores.
Los cibercriminales utilizan dominios secuestrados con buena reputación para crear una infraestructura para otros ciberataques, ya que les permiten evadir la detección. Los visitantes pueden ser redirigidos a un servidor controlado por el atacante, que difunde contenido malicioso.
Los cibercriminales suelen apuntar a servicios gratuitos en línea, como DNS Made Easy, para aparcar temporalmente los nombres de dominio durante 30 a 60 días. Una vez que expira el período gratuito, los dominios se "pierden" y otros atacantes los reclaman.
Y este vector de ataque es totalmente prevenible con configuraciones correctas en el registrador de dominios y los proveedores de DNS.
"Las configuraciones incorrectas de DNS son un descuido que surge de muchos factores. Varias partes pueden desempeñar un papel en la solución de estos problemas: el titular del dominio es dueño de sus configuraciones de dominio, y tanto los registradores como los proveedores de DNS pueden hacer que este tipo de secuestros sean más difíciles de realizar o más fáciles de remediar", dijo Infoblox.
Los investigadores descubrieron dos actores de amenazas principales que explotan esta vulnerabilidad. El primero, llamado Vacant Viper, roba 2.500 dominios cada año y los utiliza para operaciones de spam, entrega de pornografía, centros de comando y control y distribución de malware.
Otro actor de amenazas, Vextrio Viper, ejecuta "el programa de afiliados cibercriminal más grande conocido, que enruta el tráfico web comprometido a más de 65 socios afiliados". Utiliza dominios secuestrados como parte de su sistema de distribución de tráfico masivo.
Fuente:
CyberNews
https://cybernews.com/security/dns-predators-steal-70k-websites-with-simple-hack/