El ataque de Sitting Ducks está fuera de control: los piratas informáticos ya se han apoderado de 70.000 dominios
Los problemas de configuración dejan en riesgo millones de recursos más.
En los últimos seis meses, los ciberdelincuentes han tomado el control de más de 70,000 dominios de aproximadamente 800,000 que son vulnerables a un ataque sencillo conocido como «Sitting Ducks». Los especialistas de Infoblox y Eclypsium advirtieron sobre esta vulnerabilidad a mediados del verano y recomendaron a los propietarios de sitios web solucionar el problema de inmediato, pero muchos ignoraron esta advertencia.
El ataque se basa en errores de configuración de DNS conocidos como «Lame Delegation». Con esta configuración, el servidor no puede «resolver» la dirección del sitio, lo que permite a los atacantes tomar el control del dominio y modificar sus registros DNS sin tener acceso a la cuenta del propietario.
Entre las víctimas ya se encuentran grandes empresas como CBS Interactive y McDonald’s, así como varias organizaciones gubernamentales y sin fines de lucro. Los investigadores señalan que estos ataques pasan desapercibidos, ya que el problema no se reconoce como una vulnerabilidad oficial y no tiene un identificador CVE.
Los especialistas de Infoblox señalan la propagación masiva de esta vulnerabilidad. Según sus estimaciones, aproximadamente un millón de dominios pueden ser atacados por «Sitting Ducks» cada día. Los sitios que utilizan servicios DNS gratuitos populares son particularmente vulnerables.
Los delincuentes están explotando activamente los dominios vulnerables para crear infraestructura para ciberataques. Utilizan los recursos capturados para el envío de spam, la distribución de malware y la operación de centros de comando y control. Muchos sitios, tras ser capturados, se convierten en plataformas para redirigir tráfico a recursos maliciosos.
Dos grupos en particular están mostrando una gran actividad. El primero es Vacant Viper, que captura alrededor de 2,500 dominios cada año para campañas de spam y otras actividades ilegales. El segundo es Vextrio Viper, que organiza programas de afiliados a gran escala para la distribución de tráfico.
El problema se puede resolver con una configuración correcta de DNS por parte de los registradores y proveedores. Los expertos enfatizan que los errores de configuración son un descuido que se puede prevenir fácilmente con una debida coordinación entre todas las partes involucradas en la gestión de dominios.