Sitios registrados en GoDaddy afectados por Ransonware
Muchos usuarios se han infectado con Ransomware gracias a que delincuentes han logrado atacar con éxito los DNS de sitios registrados en Go Daddy, el mayor registrador de dominios del mundo.
En pocas palabras, DNS proporciona un sistema en el que las computadoras de una red (Internet) pueden hacer referencia a un nombre fácil de usar. Estos nombres se conocen como nombres de host, y DNS los traduce en lo que se conoce como una dirección IP.
Una característica clave del DNS es que se pueden realizar cambios y se aplican muy rápidamente, permitiendo que los recursos sean movidos entre ubicaciones sin afectar a los usuarios finales. Los nombres de host se mantienen constantes, y el DNS se encarga de cualquier cambio en la dirección IP como el traslado de recursos.
En esta ola de ataques, los criminales están explotando los DNS a través de la modificación de los registros asociados, incluyendo uno o más subdominios adicionales con sus correspondientes entradas DNS (registros A), que hacen referencia a direcciones IP maliciosas. Los nombres de host resuelven los las IP legítimas, pero el subdominio agregado resuelve a los servidores piratas.
Esto permite a los atacantes el uso de las URLs legítimas para evadir el filtrado de seguridad y engañar a los usuarios haciéndoles creer que el contenido es seguro.
En algunos casos, los usuarios han tenido varios subdominios añadidos, apuntando a una o más direcciones IP maliciosas.
Los servidores piratas está ejecutando un paquete de exploits 'Cool EK', muy similar a Blackhole Kit.
Los usuarios que ingresan al sitio malicioso son atacados por varios scripts que explotan varias vulnerabilidades, con el fin de infectar con ransomware.
¿Cómo fueron los atacantes capaces de hackear los registros DNS de GoDaddy?
Una causa probable es que hayan sido comprometidas las credenciales de usuario (contraseñas robada o débil), pero GoDaddy no se ha expresando al respecto. Mientras tanto sería recomendable revisar los dominios registrados en GoDaddy para verificar que no hayan sido comprometidos así como confirmar la fortaleza de la contraseña.
Cristian de la Redacción de Segu-Info
En pocas palabras, DNS proporciona un sistema en el que las computadoras de una red (Internet) pueden hacer referencia a un nombre fácil de usar. Estos nombres se conocen como nombres de host, y DNS los traduce en lo que se conoce como una dirección IP.
Una característica clave del DNS es que se pueden realizar cambios y se aplican muy rápidamente, permitiendo que los recursos sean movidos entre ubicaciones sin afectar a los usuarios finales. Los nombres de host se mantienen constantes, y el DNS se encarga de cualquier cambio en la dirección IP como el traslado de recursos.
En esta ola de ataques, los criminales están explotando los DNS a través de la modificación de los registros asociados, incluyendo uno o más subdominios adicionales con sus correspondientes entradas DNS (registros A), que hacen referencia a direcciones IP maliciosas. Los nombres de host resuelven los las IP legítimas, pero el subdominio agregado resuelve a los servidores piratas.
Esto permite a los atacantes el uso de las URLs legítimas para evadir el filtrado de seguridad y engañar a los usuarios haciéndoles creer que el contenido es seguro.
En algunos casos, los usuarios han tenido varios subdominios añadidos, apuntando a una o más direcciones IP maliciosas.
- owner.[ELIMINADO].com
- move.[ELIMINADO].com
- mouth.[ELIMINADO].com
- much.[ELIMINADO].com
- muscle.[ELIMINADO].info
- music.[ELIMINADO].mobi
Los servidores piratas está ejecutando un paquete de exploits 'Cool EK', muy similar a Blackhole Kit.
Los usuarios que ingresan al sitio malicioso son atacados por varios scripts que explotan varias vulnerabilidades, con el fin de infectar con ransomware.
- snake.[redacted].info/r/l/certainly-devices.php (exploit landing page, Mal/ExpJS-AV)
- snake.[redacted].info/r/32size_font.eot (CVE-2011-3402, Troj/DexFont-A)
- snake.[redacted].info/r/media/file.jar (Mal/JavaGen-E)
- snake.[redacted].info/r/f.php?k=1&e=0&f=0 (ransomware payload, Troj/Ransom-KM)
¿Cómo fueron los atacantes capaces de hackear los registros DNS de GoDaddy?
Una causa probable es que hayan sido comprometidas las credenciales de usuario (contraseñas robada o débil), pero GoDaddy no se ha expresando al respecto. Mientras tanto sería recomendable revisar los dominios registrados en GoDaddy para verificar que no hayan sido comprometidos así como confirmar la fortaleza de la contraseña.
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!