Las incursiones cibernéticas denominadas “Sitting Ducks” son un tema poco explorado en el ámbito de la ciberseguridad. Este tipo de ataques, que implican el desvío de dominios, sigue siendo un fenómeno desconocido para muchos investigadores. Sin embargo, estas amenazas son frecuentes y suponen un grave riesgo para las organizaciones. Recientemente, Infoblox, un referente en servicios de red y seguridad en la nube, ha detectado nuevos grupos que se benefician de este modelo de ataque.
Un análisis más profundo sobre las amenazas
Tribuna – Infoblox Threat Intel ha publicado un informe detallado sobre las “Sitting Ducks”, confirmando que más de un millón de dominios podrían estar en peligro. Este estudio no solo revela la magnitud del problema, sino que también explica cómo diferentes grupos han comenzado a utilizar esta táctica para intensificar sus campañas maliciosas.
Comprendiendo el ataque “Sitting Ducks”
En una incursión de tipo “Sitting Ducks”, el atacante toma el control de un dominio alterando sus configuraciones DNS. Desde 2018, los delincuentes cibernéticos han estado utilizando este método para apoderarse de miles de dominios. Las víctimas incluyen reconocidas marcas, entidades sin fines de lucro y órganos gubernamentales. Tras un primer informe en julio de 2024, Infoblox lanzó un programa de vigilancia que ha revelado datos alarmantes. Hasta ahora, se han identificado 800,000 dominios vulnerables, de los cuales cerca de 70,000 ya han sido desviados.
Nuevos actores en la escena delictiva
Vacant Viper es uno de los grupos más destacados, con alrededor de 2,500 dominios secuestrados anualmente desde diciembre de 2019. Este grupo utiliza dominios comprometidos para amplificar su sistema de distribución de tráfico malicioso. Conocido como 404TDS, busca llevar a cabo campañas de spam, difundir contenido ilegal y establecer servidores de control para malware como DarkGate y AsyncRAT. No se enfoca en marcas específicas; en cambio, persigue dominios de alta reputación, capaces de eludir filtros de seguridad.
Horrid Hawk y Hasty Hawk: Nuevas amenazas emergentes
El término “Hawks” se utiliza para describir a los atacantes que se infiltran en dominios vulnerables. Infoblox ha identificado a varios grupos nuevos que se benefician de esta estrategia de desvío. Uno de ellos es Horrid Hawk, que se especializa en el uso de dominios secuestrados para fraudes financieros. Este grupo ha estado activo desde febrero de 2023, creando programas de inversión falsos para atraer a los usuarios. Sus anuncios alcanzan a personas en más de 30 idiomas en varios continentes.
Hasty Hawk, otro actor significativo, ha comprometido más de 200 dominios desde marzo de 2022. Este grupo organiza masivas campañas de phishing, a menudo suplantando páginas de seguimiento de DHL o creando sitios falsos de donaciones. Utiliza publicidad en Google y mensajes no deseados para difundir sus contenidos maliciosos, adaptando sus tácticas según la geolocalización de los usuarios.
Como joven medio de comunicación independiente, Seguridad y Firewall necesita tu ayuda. Apóyanos siguiéndonos y marcándonos como favoritos en Google News. Gracias por tu apoyo.