Sitting Ducks: 35.000 dominios capturados por cibercriminales sin ruido ni polvo

Los ciberdelincuentes han capturado más de 35.000 dominios registrados utilizando un ataque que los investigadores han denominado «Sitting Ducks». Este método permite a los atacantes apoderarse de dominios sin acceso a la cuenta del propietario en el proveedor de DNS o el registrador.

Durante el ataque de Sitting Ducks, los ciberdelincuentes explotan deficiencias de configuración a nivel del registrador y una verificación insuficiente de la propiedad por parte de los proveedores de DNS. Investigadores de las empresas Infoblox y Eclypsium han descubierto que más de un millón de dominios podrían ser capturados diariamente mediante este ataque.

Numerosos grupos ciberdelincuentes llevan varios años utilizando este método para enviar spam, cometer fraudes, distribuir malware, realizar phishing y robar datos. El problema fue documentado por primera vez en 2016 por Matthew Bryant, ingeniero de seguridad de la empresa Snap.

Para que el ataque tenga éxito, se deben cumplir varias condiciones: el dominio debe utilizar o delegar servicios DNS autoritativos a un proveedor distinto del registrador; el servidor DNS autoritativo no debe poder resolver consultas; el proveedor de DNS debe permitir reclamar la propiedad del dominio sin verificación.

Si se cumplen estas condiciones, los atacantes pueden apoderarse del dominio. Las variaciones del ataque incluyen una delegación parcialmente incorrecta y la redirección a otro proveedor de DNS. En caso de que los servicios de DNS o alojamiento web del dominio objetivo expiren, el atacante puede reclamar el dominio creando una cuenta en el proveedor de DNS.

Infoblox y Eclypsium han observado numerosos casos de explotación de Sitting Ducks desde 2018 y 2019. Durante este tiempo, se han registrado más de 35.000 casos de captura de dominios mediante este método. Generalmente, los ciberdelincuentes mantenían los dominios durante poco tiempo, pero en algunos casos los dominios permanecían bajo el control de los atacantes hasta un año.

Se conocen varios grupos de hackers que utilizan este ataque:

• «Spammy Bear» — capturó dominios de GoDaddy a finales de 2018 para enviar spam.
• «Vacant Viper» — desde diciembre de 2019, captura anualmente unos 2.500 dominios para el sistema 404TDS, que distribuye IcedID y crea dominios C2 para malware.
• «VexTrio Viper» — desde principios de 2020, utiliza dominios para un sistema de distribución masiva de tráfico que facilita las operaciones de SocGholish y ClearFake.

Algunos dominios fueron capturados sucesivamente por varios grupos diferentes, que los utilizaron para phishing, envío de spam y creación de redes de distribución de malware.

Se recomienda a los propietarios de dominios que comprueben regularmente sus configuraciones de DNS en busca de delegaciones incorrectas, especialmente en dominios antiguos. Los registradores, por su parte, deben realizar comprobaciones proactivas y notificar a los propietarios sobre los problemas. Los reguladores y los organismos de normalización deben desarrollar estrategias a largo plazo para abordar las vulnerabilidades de DNS y exigir a los proveedores de DNS que tomen medidas activas para reducir el riesgo de ataques tipo Sitting Ducks.