{"id":1440975,"date":"2024-11-14T18:55:06","date_gmt":"2024-11-14T18:55:06","guid":{"rendered":"https:\/\/teknomers.com\/es\/expertos-descubren-70-000-dominios-secuestrados-en-un-plan-de-ataque-generalizado-de-patos-faciles\/"},"modified":"2024-11-14T18:55:11","modified_gmt":"2024-11-14T18:55:11","slug":"expertos-descubren-70-000-dominios-secuestrados-en-un-plan-de-ataque-generalizado-de-patos-faciles","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/expertos-descubren-70-000-dominios-secuestrados-en-un-plan-de-ataque-generalizado-de-patos-faciles\/","title":{"rendered":"Expertos descubren 70.000 dominios secuestrados en un plan de ataque generalizado de &#8220;patos f\u00e1ciles&#8221;"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/Expertos-descubren-70000-dominios-secuestrados-en-un-plan-de-ataque.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Se ha descubierto que varios actores de amenazas aprovechan una t\u00e9cnica de ataque llamada Sitting Ducks para secuestrar dominios leg\u00edtimos y utilizarlos en ataques de phishing y esquemas de fraude de inversiones durante a\u00f1os.<\/p>\n<p>El <a rel=\"noopener nofollow\" href=\"https:\/\/blogs.infoblox.com\/threat-intelligence\/dns-predators-hijack-domains-to-supply-their-attack-infrastructure\" target=\"_blank\">recomendaciones<\/a> Provienen de Infoblox, que dijo haber identificado cerca de 800.000 dominios registrados vulnerables en los \u00faltimos tres meses, de los cuales aproximadamente el 9% (70.000) han sido secuestrados posteriormente.<\/p>\n<p>&#8220;Los ciberdelincuentes han utilizado este vector desde 2018 para secuestrar decenas de miles de nombres de dominio&#8221;, dijo la empresa de ciberseguridad en un informe detallado compartido con The Hacker News. &#8220;Los dominios de las v\u00edctimas incluyen marcas conocidas, organizaciones sin fines de lucro y entidades gubernamentales&#8221;.<\/p>\n<p>El vector de ataque poco conocido, aunque <a rel=\"noopener nofollow\" href=\"https:\/\/thehackerblog.com\/floating-domains-taking-over-20k-digitalocean-domains-via-a-lax-domain-import-system\/\" target=\"_blank\">originalmente documentado<\/a> por el investigador de seguridad Matthew Bryant all\u00e1 por 2016, no atrajo mucha atenci\u00f3n hasta que se revel\u00f3 la escala de los secuestros a principios de agosto.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zerotrust-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1731050243_236_CISA-alerta-sobre-la-explotacion-activa-de-la-vulnerabilidad-critica.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Creo que hay m\u00e1s conciencia [since then]&#8221;, dijo la Dra. Renee Burton, vicepresidenta de inteligencia de amenazas de Infoblox, a The Hacker News. &#8220;Aunque no hemos visto disminuir el n\u00famero de secuestros, hemos visto clientes muy interesados \u200b\u200ben el tema y agradecidos por la concientizaci\u00f3n sobre sus propios riesgos potenciales. <\/p>\n<p>El ataque Sitting Ducks, en esencia, permite a un actor malintencionado tomar el control de un dominio aprovechando configuraciones err\u00f3neas en su sistema de nombres de dominio (<a rel=\"noopener nofollow\" href=\"https:\/\/en.wikipedia.org\/wiki\/Domain_Name_System\" target=\"_blank\">DNS<\/a>) ajustes. Esto incluye escenarios en los que el DNS apunta al servidor de nombres autorizado incorrecto.<\/p>\n<p>Sin embargo, existen ciertos requisitos previos para lograr esto: un dominio registrado delega servicios DNS autorizados a un proveedor diferente al registrador del dominio, el <a rel=\"noopener nofollow\" href=\"https:\/\/www.akamai.com\/glossary\/what-are-lame-delegations\" target=\"_blank\">la delegaci\u00f3n es coja<\/a>y el atacante puede &#8220;reclamar&#8221; el dominio en el proveedor de DNS y configurar registros DNS sin acceso a la cuenta v\u00e1lida del propietario en el registrador de dominios.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1731610504_22_Expertos-descubren-70000-dominios-secuestrados-en-un-plan-de-ataque.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1731610504_22_Expertos-descubren-70000-dominios-secuestrados-en-un-plan-de-ataque.png\" alt=\"Dominios secuestrados\" border=\"0\" data-original-height=\"724\" data-original-width=\"985\" title=\"Dominios secuestrados\"\/><\/a><\/div>\n<p>Sitting Ducks es f\u00e1cil de ejecutar y sigiloso, en parte impulsado por la reputaci\u00f3n positiva que tienen muchos de los dominios secuestrados. Algunos de los dominios que han sido v\u00edctimas de los ataques incluyen una empresa de entretenimiento, un proveedor de servicios de IPTV, un bufete de abogados, un proveedor de productos ortop\u00e9dicos y cosm\u00e9ticos, una tienda tailandesa de ropa en l\u00ednea y una empresa de venta de neum\u00e1ticos.<\/p>\n<p>Los actores de amenazas que secuestran dichos dominios aprovechan la reposici\u00f3n de la marca y el hecho de que es poco probable que las herramientas de seguridad los marquen como maliciosos para lograr sus objetivos estrat\u00e9gicos.<\/p>\n<p>&#8220;Es dif\u00edcil de detectar porque si el dominio ha sido secuestrado, entonces no es tonto&#8221;, explic\u00f3 Burton. &#8220;Sin ning\u00fan otro signo, como una p\u00e1gina de phishing o un malware, la \u00fanica se\u00f1al es un cambio de direcci\u00f3n IP&#8221;.<\/p>\n<p>&#8220;El n\u00famero de dominios es tan grande que los intentos de utilizar cambios de IP para indicar actividad maliciosa dar\u00edan lugar a muchos falsos positivos. &#8216;Volvemos&#8217; a rastrear a los actores de amenazas que est\u00e1n secuestrando dominios entendiendo primero c\u00f3mo operan individualmente y luego rastrear ese comportamiento.&#8221;<\/p>\n<p>Un aspecto importante que es com\u00fan a los ataques de patos sentados es el secuestro rotacional, donde diferentes actores de amenazas se apoderan repetidamente de un dominio a lo largo del tiempo.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow noopener\" href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgfhVkQ299l3CuqTwrqq-FDpraNo_uW3-9MsvbCpLbByDofJ7W3hDa8_P-vCOXAiml152T2PjoMGgWkBWUlMB-nh36YtA5DLXOuRgrgmEZM6O0U3Duh98tz_t3SC-QySLQX32EhKEwkBx6vQo67IOPrvWrtI2GP5aZL92PY2zmdOy-GCAzvOB0e61JIzfKG\/s1010\/sitting-such.png\" style=\"clear: left; display: block; float: left;  text-align: center;\" target=\"_blank\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1731610505_215_Expertos-descubren-70000-dominios-secuestrados-en-un-plan-de-ataque.png\" alt=\"Dominios secuestrados\" border=\"0\" data-original-height=\"359\" data-original-width=\"1010\" title=\"Dominios secuestrados\"\/><\/a><\/div>\n<p>&#8220;Los actores de amenazas a menudo utilizan proveedores de servicios explotables que ofrecen cuentas gratuitas como DNS Made Easy como bibliotecas de pr\u00e9stamo, generalmente secuestrando dominios durante 30 a 60 d\u00edas; sin embargo, tambi\u00e9n hemos visto otros casos en los que los actores mantienen el dominio durante un largo per\u00edodo de tiempo. &#8220;, se\u00f1al\u00f3 Infoblox.<\/p>\n<p>&#8220;Despu\u00e9s de que expira la cuenta gratuita a corto plazo, el primer actor de amenaza &#8216;pierde&#8217; el dominio y luego otro actor de amenaza lo estaciona o lo reclama&#8221;.<\/p>\n<p>Algunos de los principales actores de amenazas DNS que se han encontrado &#8220;aprovechando&#8221; los ataques de patos sentados se enumeran a continuaci\u00f3n:<\/p>\n<ul>\n<li>Vacant Viper, que lo ha utilizado para operar el 404 TDS, adem\u00e1s de ejecutar operaciones de spam malicioso, entregar pornograf\u00eda, establecer comando y control (C2) y eliminar malware como DarkGate y AsyncRAT (en curso desde diciembre de 2019)<\/li>\n<li>Horrid Hawk, que lo ha utilizado para llevar a cabo esquemas de fraude de inversiones mediante la distribuci\u00f3n de los dominios secuestrados a trav\u00e9s de anuncios de Facebook de corta duraci\u00f3n (en curso desde al menos febrero de 2023)<\/li>\n<li>Hasty Hawk, que lo ha utilizado para llevar a cabo campa\u00f1as de phishing generalizadas que imitan principalmente las p\u00e1ginas de env\u00edo de DHL y sitios de donaci\u00f3n falsos que imitan a supportukrainenow.[.]org y afirma apoyar a Ucrania (en curso desde al menos marzo de 2022)<\/li>\n<li>VexTrio Viper, que sol\u00eda operar su TDS (en curso desde principios de 2020)<\/li>\n<\/ul>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-nov\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1730452711_528_Microsoft-retrasa-la-retirada-del-mercado-de-Windows-Copilot-por.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Infoblox dijo que varios afiliados de VexTrio Viper, como GoRefresh, tambi\u00e9n han participado en ataques Sitting Ducks para realizar campa\u00f1as farmac\u00e9uticas falsas en l\u00ednea, as\u00ed como estafas de juegos de azar y citas.<\/p>\n<p>&#8220;Tenemos algunos actores que parecen utilizar los dominios para el malware C2 en el que la exfiltraci\u00f3n se env\u00eda a trav\u00e9s de servicios de correo&#8221;, dijo Burton. &#8220;Mientras otros los utilizan para distribuir spam, estos actores configuran sus DNS s\u00f3lo para recibir correo&#8221;.<\/p>\n<p>Esto indica que los malos actores est\u00e1n aprovechando los dominios incautados por un amplio espectro de razones, poniendo as\u00ed tanto a las empresas como a los individuos en riesgo de sufrir malware, robo de credenciales y fraude.<\/p>\n<p>&#8220;Hemos encontrado varios actores que han secuestrado dominios y los han retenido durante largos per\u00edodos de tiempo, pero no hemos podido determinar el prop\u00f3sito del secuestro&#8221;, concluy\u00f3 Infoblox. &#8220;Estos dominios tienden a tener una gran reputaci\u00f3n y normalmente no son notados por los proveedores de seguridad, creando un entorno donde actores inteligentes pueden entregar malware, cometer fraude desenfrenado y phishing de credenciales de usuarios sin consecuencias&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/11\/experts-uncover-70000-hijacked-domains.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se ha descubierto que varios actores de amenazas aprovechan una t\u00e9cnica de ataque llamada Sitting Ducks para secuestrar<\/p>\n","protected":false},"author":1,"featured_media":1440976,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,1247,4661,4664,6073,16684,385,24687,79332,201033,4654,201031,4659,4653,4655,35570,462,61117,246983,4665,246984,201032,246982,4660],"class_list":["post-1440975","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataque","tag-ataques-ciberneticos","tag-como-hackear","tag-descubren","tag-dominios","tag-expertos","tag-faciles","tag-generalizado","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-patos","tag-plan","tag-secuestrados","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-software-malicioso-ransomware","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1440975","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1440975"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1440975\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1440976"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1440975"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1440975"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1440975"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}