Ciudad de México, julio de 2024.
Según un informe de Infoblox Threat Intel, la unidad de inteligencia de ciberseguridad de Infoblox.
A diferencia de los algoritmos de generación de dominios tradicionales (DGA), un sistema basado en RDGA registra de una vez todos los dominios que genera, no sólo una parte, lo que permite escalar los ataques rápidamente y evitar que sean detectados.
Entre otros actores RDGA, Infoblox ha identificado un actor malicioso, que ha denominado Revolver Rabbit, y que ha registrado más de 500.000 dominios utilizando esta técnica. Estos dominios son luego utilizados para crear dominios de comando y control (C2) y dominios señuelo (decoy domains) para el malware XLoader
Julio de 2024 – Infoblox Threat Intel, la unidad de inteligencia de ciberseguridad de Infoblox, ha publicado un nuevo estudio con las últimas novedades en la utilización de algoritmos de generación de dominios registrados (RDGA) por parte de actores maliciosos.
Un algoritmo RDGA se diferencia del algoritmo de generación de dominios de malware (DGA) tradicional en que todos los dominios que se generan son registrados, no sólo una parte de ellos, lo que permite escalar los ataques rápidamente y evitar que sean detectados. Esta técnica fue por primera vez descrita por Infoblox en octubre de 2023
El estudio pone de manifiesto que el uso de este tipo de generadores de dominios ha aumentado en los últimos años y se emplean en múltiples y variados casos de uso, desde ciberestafas y phising hasta difusión de malware. Los algoritmos RDGA se han convertido en una herramienta fundamental dentro del conjunto de técnicas utilizadas por los actores maliciosos y suponen una amenaza importante y subestimada. Con el uso de RDGA, los actores pueden escalar fácilmente sus operaciones de spam, malware y estafas, a menudo sin ser detectados por los actores de inteligencia de ciberseguridad del mercado. Además, la automatización en los servicios de registro de dominios facilita a los ciberdelincuentes el uso de esta técnica.
Infoblox Threat Intel ha desarrollado múltiples algoritmos para descubrir y rastrear dominios generados mediante RDGA, incluso aquellos que están en estado de desarrollo por parte de nuevas entidades de dominios. Utilizando estos algoritmos como detectores, Infoblox ha podido identificar decenas de miles de nuevos dominios potencialmente maliciosos cada día, y clasificarlos en grupos de recursos que son controlados por actores maliciosos. Es de destacar que la mayoría de estos dominios pasan desapercibidos para la mayoría de proveedores de soluciones de la seguridad.
Revolver Rabbit, un actor malicioso que ha registrado más de 500.000 dominios
El ejemplo más notable identificado por Infoblox es un RDGA controlado por un actor malicioso que ha registrado más de 500.000 dominios, y que Infoblox Threat Intel ha denominado Revolver Rabbit, que ha debido suponer un coste para este actor de más de un millón de dólares en tarifas de registro. Después de rastrear la actividad de este actor durante casi un año, y sin que diera muestras de actividad maliciosa, a pesar del gran número de dominios registrados, Infoblox Threat Intel descubrió que Revolver Rabbit usa RDGA para crear dominios de comando y control (C2) y dominios señuelo (decoy domains) para el malware XLoader (también conocido como Formbook). Este malware es una agente de exfiltración de datos cuyo vector de ataque suelen ser correos electrónicos de phishing.
Se puede acceder al informe completo aqui:
https://insights.infoblox.com/resources-research-report/infoblox-research-report-registered-dgas-the-prolific-new-menace-no-one-is-talking-about
Infoblox Threat Intel realiza de forma sistemática estudios y análisis del panorama de ciberamenazas relacionadas con DNS, y ha sido el primero en identificar numerosos actores maliciosos que utilizan dominios como parte de su kit de herramientas dentro de la cadena de suministro de sus actividades. Entre ellos se encuentran acortadores de enlaces maliciosos (Prolific Puma) y sistemas de distribución de tráfico (VexTrio Viper/Savvy Seahorse).
Sobre Infoblox
Infoblox es una compañía especializada en soluciones que permiten integrar la gestión de red y de la seguridad para proporcionar a las empresas un rendimiento y una protección inigualables. Las empresas del ranking Fortune 100 e innovadores de todo el mundo confían en Infoblox, porque les proporciona visibilidad y control en tiempo real sobre quién y qué se conecta a la red, un mayor rendimiento de toda la infraestructura y la capacidad de detener de forma temprana las amenazas de seguridad. Para más información sobre la compañía, visite https://www.infoblox.com o sus cuentas en redes sociales (LinkedIn o Twitter).
Más historias
realme presenta el primer smartphone del mundo que cambia de color con la sensibilidad al frío en la serie realme 14 Pro
Ciberseguridad en documentos, desde la captura de datos hasta su uso para la IA
El Agente de IA de Globant para la Corrección de Código Logra la Puntuación Más Alta en el Rendimiento de SWE-bench-lite