El ataque conocido como “Sitting Ducks” pone en riesgo a más de 1 millón de dominios diariamente, según alerta Infoblox.
El secuestro de dominios mediante ataques “Sitting Ducks” sigue siendo un tema poco reconocido dentro de la comunidad de ciberseguridad, a pesar de su creciente prevalencia y el impacto significativo que tiene en organizaciones de todos los sectores. Investigadores de Infoblox han identificado este vector de ataque como una amenaza emergente desde 2018, con el potencial de comprometer tanto a empresas privadas como a entidades gubernamentales.
Qué es un ataque «Sitting Ducks»
En un ataque “Sitting Ducks” (patos sentados), los cibercriminales toman el control de dominios vulnerables al secuestrar sus configuraciones DNS. Estos dominios, en muchos casos asociados a marcas reconocidas o con buena reputación en línea, son utilizados por los atacantes para distribuir malware, ejecutar campañas de spam o phishing, y redirigir tráfico malicioso.
Estadísticas alarmantes
Desde que Infoblox lanzó una iniciativa de monitorización en julio de 2024, se han identificado 800.000 dominios vulnerables y cerca de 70.000 dominios ya comprometidos. La investigación señala que más de 1 millón de dominios registrados podrían estar en riesgo diariamente, lo que destaca la escala y gravedad de este vector de ataque.
Principales actores detrás de los ataques
El informe de Infoblox también revela detalles sobre los principales grupos cibercriminales responsables de estos ataques, bautizados con nombres como «Vacant Viper», «Vextrio Viper», «Horrid Hawk» y «Hasty Hawk».
Vacant Viper: Maestro del tráfico malicioso
Activo desde diciembre de 2019, este grupo ha secuestrado unos 2.500 dominios anualmente. Utilizan estos dominios en su sistema de distribución de tráfico malicioso conocido como 404TDS, que ejecuta operaciones de spam, entrega malware como DarkGate y AsyncRAT, y establece servidores de comando y control (C2) para troyanos de acceso remoto (RAT).
Vacant Viper no se enfoca en marcas específicas, sino que apunta a dominios con buena reputación, dificultando su detección por los proveedores de seguridad.
Vextrio Viper: Infraestructura masiva para afiliados
Desde 2020, Vextrio ha liderado uno de los programas de afiliados más grandes del cibercrimen. Su infraestructura redirige tráfico web comprometido a más de 65 socios afiliados, algunos de los cuales también utilizan el ataque “Sitting Ducks” para robar dominios.
Este actor emplea servicios antibot rusos para evitar ser detectado por investigadores de seguridad, estableciendo reglas para bloquear bots y usuarios en función de su IP, agente de usuario y ubicación geográfica.
Horrid Hawk: Fraude de inversión
Desde febrero de 2023, Horrid Hawk utiliza dominios secuestrados para ejecutar esquemas de fraude relacionados con inversiones. Estos ataques incluyen campañas dirigidas con anuncios en redes sociales como Facebook, simulando programas gubernamentales inexistentes. Los señuelos, elaborados en más de 30 idiomas, tienen un alcance global.
Hasty Hawk: Phishing a escala global
Este actor, activo desde marzo de 2022, ha secuestrado más de 200 dominios para ejecutar campañas de phishing. Suplantan páginas de envío de DHL y sitios de donaciones falsas en apoyo a Ucrania. Además, usan Google Ads y mensajes de spam para distribuir contenido malicioso, redirigiendo a las víctimas a páginas diseñadas según su ubicación geográfica y características del usuario.
Recomendaciones para mitigar el riesgo
Para reducir la vulnerabilidad a los ataques “Sitting Ducks”, los expertos recomiendan a las organizaciones:
- Auditar las configuraciones DNS regularmente para detectar posibles manipulaciones.
- Implementar medidas de seguridad adicionales, como autenticación multifactor y registros DNSSEC.
- Monitorizar el tráfico web en busca de patrones inusuales que puedan indicar redirecciones maliciosas.
- Educar al personal sobre la detección de señuelos de phishing y otros ataques basados en dominios.
Conclusión
Los ataques “Sitting Ducks” representan un desafío significativo para la seguridad en Internet, afectando a un número alarmante de dominios y facilitando actividades maliciosas a gran escala. La falta de conocimiento generalizado sobre este vector de ataque subraya la necesidad de una mayor investigación y concienciación dentro de la comunidad de ciberseguridad.
fuente: Helpnetsecurity
