Los ciberataques no paran de evolucionar, y uno de los más preocupantes últimamente es el conocido como "Sitting Ducks" aplicado a los DNS. Este método ha permitido a los hackers secuestrar más de 35.000 dominios. Esta metodología permite a los atacantes reclamar un dominio sin necesidad de acceder a la cuenta del propietario en el proveedor de DNS o el registrador, poniendo en evidencia serias vulnerabilidades en la gestión y seguridad de los dominios.
Los ataques Sitting Ducks explotan principalmente las deficiencias de configuración en los registradores y la falta de verificación de propiedad adecuada en los proveedores de DNS. Estas brechas permiten a los atacantes redirigir el tráfico de los dominios secuestrados, interceptar correos electrónicos y, en muchos casos, obtener acceso a información sensible sin que el propietario del dominio lo sepa.
Investigadores de seguridad han señalado que la magnitud del problema es aún mayor de lo que se pensaba inicialmente. Según sus análisis, más de un millón de dominios están en riesgo de ser secuestrados diariamente mediante estos ataques. Esta alarmante cifra subraya la necesidad urgente de mejorar las prácticas de seguridad tanto a nivel de los registradores como de los proveedores de DNS.
Varios grupos cibercriminales rusos han estado empleando este vector de ataque durante años, utilizando los dominios secuestrados para llevar a cabo campañas de spam, estafas, distribución de malware, phishing y exfiltración de datos.
Te podrá interesar leer: ¿Cómo protegerse contra ataques de envenenamiento DNS?
Detalles de los Ataques Sitting Ducks
Los problemas que hacen posibles los ataques Sitting Ducks fueron documentados por primera vez en 2016 por Matthew Bryant, un ingeniero de seguridad. A pesar de esto, este vector de ataque sigue siendo una forma relativamente sencilla de secuestrar dominios en comparación con otros métodos más conocidos.
Para que el ataque sea posible, deben darse las siguientes condiciones:
- El dominio registrado utiliza o delega servicios DNS autorizados a un proveedor diferente del registrador.
- El servidor de nombres autorizado del registro no puede resolver consultas debido a una delegación deficiente.
- El proveedor de DNS permite reclamar un dominio sin verificar adecuadamente la propiedad o sin requerir acceso a la cuenta del propietario.
Las variantes del ataque incluyen la delegación parcialmente defectuosa (no todos los servidores de nombres están configurados incorrectamente) y la redelegación a otro proveedor de DNS. Sin embargo, si se cumplen las condiciones de una delegación defectuosa y un proveedor explotable, el dominio puede ser secuestrado.
Expertos explican que los atacantes pueden utilizar el método Sitting Ducks en dominios que emplean servicios DNS autorizados de un proveedor diferente al registrador, como un servicio de alojamiento web. Si el DNS autorizado o el servicio de alojamiento web para el dominio de destino expira, un atacante puede simplemente reclamarlo creando una cuenta con el proveedor de servicios DNS.
El cibercriminal puede entonces configurar un sitio web malicioso bajo ese dominio y ajustar los registros DNS para redirigir las solicitudes de direcciones IP a una dirección falsa. El propietario legítimo, por su parte, no podrá modificar los registros DNS.
Escenario de "Sitting Ducks"
Conoce más sobre: Hackers Explotan Túnel de Cloudflare para Campañas de Malware
La Amenaza Persistente de los Sitting Ducks
Desde 2018, varios actores de amenazas han estado explotando el vector de ataque conocido como Sitting Ducks (o Ducks Now Sitting - DNS). Este método ha permitido el secuestro de más de 35.000 dominios, con incidentes en los que los cibercriminales han mantenido el control de los dominios secuestrados desde unos pocos días hasta un año completo.
En algunos casos, los mismos dominios han sido secuestrados sucesivamente por múltiples actores de amenazas. Estos grupos han utilizado los dominios secuestrados para sus operaciones durante uno o dos meses antes de pasarlos a otros atacantes.
Un caso confirmado es el de GoDaddy, que ha sido víctima de los ataques Sitting Ducks. Además, se ha identificado que al menos seis proveedores de DNS son actualmente vulnerables a este tipo de ataque.
Grupos de Actividad Observados
Varios grupos de cibercriminales han sido identificados utilizando los ataques Sitting Ducks para diversas actividades maliciosas:
-
Spammy Bear: Este grupo comenzó a secuestrar dominios de GoDaddy a finales de 2018, utilizándolos principalmente en campañas de spam.
-
Vacant Viper: Desde diciembre de 2019, este grupo ha estado secuestrando alrededor de 2,500 dominios al año. Utilizan estos dominios en el sistema 404TDS, que distribuye el malware IcedID y configura dominios de comando y control (C2) para otras amenazas.
-
VexTrio Viper: Activo desde principios de 2020, este grupo emplea los dominios secuestrados en un sistema de distribución de tráfico masivo (TDS), facilitando las operaciones de SocGholish y ClearFake.
-
Actores sin nombre: Además de los grupos mencionados, varios actores de amenazas más pequeños y menos conocidos también han estado utilizando los ataques Sitting Ducks. Estos actores crean redes para la distribución de tráfico, campañas de spam y phishing.
Podría interesarte leer: Detección de Amenazas en Servidores DNS con Wazuh
Estrategias de Defensa para Proteger Dominios contra Ataques Sitting Ducks
Para protegerse contra los ataques Sitting Ducks, es crucial que los propietarios de dominios adopten medidas preventivas y proactivas.
- Revisión y Actualización de Configuraciones de DNS: Los propietarios de dominios deben establecer un calendario regular para revisar sus configuraciones de DNS. Esto es especialmente importante para dominios antiguos, que pueden tener configuraciones obsoletas o delegaciones defectuosas. Es vital actualizar los registros de delegación en el registrador o en el servidor de nombres autorizado, asegurándose de que todos los servicios de DNS estén activos y sean confiables.
- Comprobaciones Proactivas por parte de Registradores: Los registradores tienen un papel crucial en la protección contra los ataques Sitting Ducks. Deben implementar sistemas de comprobación proactiva para detectar delegaciones inactivas o defectuosas y alertar a los propietarios de dominios sobre posibles vulnerabilidades. Además, es esencial que los registradores se aseguren de que un servicio de DNS esté completamente establecido antes de propagar cualquier delegación de servidores de nombres.
- Rol de los Reguladores y Organismos de Normalización: Los reguladores y los organismos de normalización también deben involucrarse activamente en la mitigación de estos ataques. Deben desarrollar y promover estrategias a largo plazo para abordar las vulnerabilidades del DNS. Esto incluye la creación de directrices y estándares más estrictos para los proveedores de DNS, y la presión para que implementen medidas de seguridad más robustas.
Recomendaciones Adicionales para Propietarios de Dominios
- Implementar Autenticación de Dos Factores (2FA): Asegurar que el acceso a las cuentas de dominio esté protegido con una capa adicional de seguridad.
- Utilizar Bloqueo de Transferencia de Dominio: Activar esta función para prevenir transferencias no autorizadas de dominio.
- Monitorización Continua: Utilizar herramientas de monitorización que alerten sobre cualquier cambio no autorizado en las configuraciones de DNS.
- Educación y Concienciación: Mantenerse informado sobre las últimas amenazas y prácticas de seguridad para estar siempre un paso adelante de los atacantes.
Proteger los dominios contra los ataques Sitting Ducks requiere un enfoque multifacético que involucra a los propietarios de dominios, registradores, reguladores y organismos de normalización. Al adoptar medidas preventivas y trabajar juntos, podemos fortalecer la seguridad del DNS y minimizar el riesgo de secuestro de dominios.