Como se reveló recientemente en un nuevo informe de Infoblox Threat Intel, más de 1 millón de dominios registrados podrían ser vulnerables a una técnica de ciberataque conocida como “patos sentados”.
Este vector de ataque relativamente desconocido permite a atacantes malintencionados apoderarse de dominios legítimos explotando configuraciones de DNS mal configuradas.
Los ataques Sitting Ducks, que han estado activos desde 2018, permiten a los atacantes tomar el control total de un dominio secuestrando la configuración DNS.
La iniciativa de seguimiento de Infoblox ha identificado aproximadamente 800.000 dominios vulnerables, de los cuales aproximadamente 70.000 ya han sido secuestrados.
Maximizar el retorno de la inversión en ciberseguridad: consejos de expertos para líderes de PYME y MSP: asista al seminario web gratuito
grupo de amenaza
Varios grupos de actores de amenazas están explotando este vector de ataque.
Vacant Viper: activo desde diciembre de 2019, secuestra aproximadamente 2500 dominios anualmente para alimentar un sistema de distribución de tráfico malicioso conocido como 404TDS. Vextrio Viper: ha estado en funcionamiento desde principios de 2020 y utiliza dominios secuestrados como parte de una infraestructura de sistema de distribución de tráfico a gran escala. Horrid Hawk: activo desde febrero de 2023, utiliza dominios secuestrados para llevar a cabo esquemas de fraude de inversiones en varios idiomas y continentes. Hasty Hawk: desde marzo de 2022, ha secuestrado más de 200 dominios para campañas de phishing, principalmente haciéndose pasar por páginas de envío de DHL y sitios de donación falsos.
Este ataque es particularmente peligroso debido a su naturaleza sigilosa. Los dominios secuestrados suelen mantener una reputación positiva, lo que les permite evitar la detección por parte de las herramientas de seguridad.
Esto dificulta que los equipos de seguridad identifiquen y mitiguen las amenazas. El impacto del ataque de Sitting Ducks es de gran alcance y afecta a organizaciones, individuos y equipos de seguridad.
Las empresas enfrentan daños a su reputación y las personas corren el riesgo de sufrir infecciones de malware, robo de credenciales y fraude.
Los equipos de seguridad tienen dificultades para defenderse de estos ataques porque la infraestructura maliciosa utiliza dominios confiables.
Para protegerse contra los ataques de patos sentados, los propietarios de dominios, registradores y proveedores de DNS deben garantizar la configuración correcta e implementar procesos de verificación de propiedad adecuados.
Aumentar la conciencia y la vigilancia dentro de la comunidad de ciberseguridad es fundamental para abordar esta creciente amenaza.
¿Eres del equipo SOC/DFIR? Analiza archivos y enlaces de malware con ANY.RUN -> Pruébalo gratis.
