Ciberdelincuentes continúan explotando la vulnerabilidad en Godaddy

Godaddy.com , el registrador de nombres de dominio más grande del mundo, abordó recientemente una debilidad de autenticación que los cibercriminales estaban utilizando para eliminar el spam a través de dominios legítimos e inactivos. Pero varias campañas más recientes de spam de malware sugieren que la solución de GoDaddy no ha ido lo suficientemente lejos, y que los estafadores probablemente todavía tengan un arsenal considerable de dominios GoDaddy secuestrados a su disposición.

El 22 de enero, KrebsOnSecurity publicó una investigación que muestra que los delincuentes detrás de una serie de campañas masivas de spam con amenazas de bombas y actos de extinción a lo largo de 2018, un adversario al que se ha denominado ” Spammy Bear “, lograron una cantidad inusual de entrega de buzones al explotar la debilidad en GoDaddy para agregar un dominio a su cuenta de GoDaddy sin validar que realmente eran dueños del dominio.

Spammy Bear se enfocó en dominios inactivos pero legítimos de otra manera que tenían una cosa en común: todos al mismo tiempo usaban el servicio de Sistema de Nombres de Dominio (DNS) de GoDaddy . El investigador Ron Guilmette descubrió que Spammy Bear pudo secuestrar miles de estos dominios inactivos para el spam simplemente registrando cuentas gratuitas en GoDaddy y diciéndole al servicio DNS automático de la compañía que permitiera el envío de correos electrónicos desde una dirección de Internet controlada por los spammers.

Poco después de que se publicó la historia, GoDaddy dijo que había implementado una solución al problema y que había borrado más de 4,000 nombres de dominio utilizados en las campañas de spam que se identificaron en mi historia del 22 de enero. Pero en o alrededor del 1 de febrero, una nueva campaña de spam que aprovechó dominios secuestrados de forma similar en GoDaddy comenzó a distribuir Gand Crab , una potente variedad de ransomware.

Como se señaló en una publicación la semana pasada en el blog MyOnlineSecurity , la campaña de Gand Crab utilizó una variedad de señuelos, que incluyen avisos de envío de DHL falsos y alertas falsas por correo electrónico de AT&T. Todos los dominios documentados por MyOnlineSecurity tuvieron sus registros de DNS modificados entre el 31 de enero y el 1 de febrero para permitir el envío de correos electrónicos desde direcciones de Internet vinculados a dos ISP identificados en mi informe original del 22 de enero sobre la debilidad de GoDaddy.

“Lo que hace que estos correos electrónicos cargados de malware sea mucho más probable que se entreguen es el hecho de que todos los dominios de envío tienen una buena reputación”, observó MyOnlineSecurity. “Hay docenas, si no cientos de dominios involucrados en esta campaña en particular. Casi todos los dominios han sido registrados por muchos años, algunos por más de 10 años “.

Una búsqueda de “DNS pasivo” muestra los cambios de DNS realizados por los spammers el 31 de enero para uno de los dominios utilizados en la campaña de spam de Gand Crab documentada por MyOnlineSecurity. 
Imagen: Farsight Security.

En una declaración proporcionada a KrebsOnSecurity, GoDaddy dijo que la compañía confiaba en que los pasos que se tomaron para solucionar el problema funcionaron como estaba previsto, y que GoDaddy simplemente pasó por alto los dominios abusados ​​en la reciente campaña de spam de GandCrab.

“Los dominios utilizados en la campaña de Gand Crab fueron modificados antes de esa fecha, pero los perdimos en nuestro barrido inicial”, dijo el vocero de GoDaddy, Dan Race . “Si bien estamos seguros de los pasos de mitigación que tomamos para evitar el problema del DNS, estamos trabajando para identificar cualquier otro dominio que deba solucionarse”.

“No creemos que sea posible que una persona secuestre el DNS de uno o más dominios usando las mismas tácticas que se usan en las campañas de Spammy Bear y Gand Crab”, continuó Race. “Sin embargo, estamos evaluando si hay otros métodos que pueden usarse para lograr los mismos resultados, y continuamos con nuestro monitoreo normal para la toma de cuenta. También hemos establecido un alias de informe en dns-spam-concerns@godaddy.com para que sea más fácil informar sobre cualquier actividad sospechosa o cualquier detalle que pueda ayudar a nuestros esfuerzos para detener este tipo de abuso “.

Es probable que esa dirección de correo electrónico reciba bastantes consejos a corto plazo. El editor de Virus Bulletin , Martijn Grooten , publicó esta semana su análisis sobre una campaña de correo electrónico de malware del 29 de enero que llegó disfrazada como un aviso de envío de UPS . Grooten dijo que el correo no deseado interceptado de esa campaña incluía enlaces a una dirección de Internet que se usaba anteriormente para distribuir GandCrab, y que prácticamente todos los dominios vistos enviando notificaciones falsas de UPS utilizaron uno de los dos pares de servidores DNS administrados por GoDaddy.

“Sin embargo, la mayoría de los dominios, que creemos que tenían su DNS comprometido, apuntan a la misma dirección IP”, escribió Grooten. Esa dirección IP actualmente alberga un sitio web que vende datos de tarjetas de crédito robadas .

El falso mensaje de UPS utilizado en una campaña de spam de malware de Gand Crab del 29 de enero. 
Fuente: Virus Bulletin.

Grooten le dijo a KrebsOnSecurity que sospecha que los criminales pueden haber logrado comprometer varios de los servidores DNS alojados de GoDaddy. Por un lado, dijo, el mismo par (a veces dos pares) de servidores de nombres sigue apareciendo en la misma campaña.

“En bastantes campañas vimos que se usaban dominios que estaban alfabéticamente cerca, [y] hay otros dominios que se habían alejado de GoDaddy antes de estas campañas, pero aún se usaban”, dijo Grooten. “También es interesante observar que cientos, y quizás miles, de dominios cambiaron su DNS en un corto período de tiempo. Tal cosa es difícil de hacer si tiene que iniciar sesión en cuentas individuales “.

GoDaddy dijo que no ha habido tal violación.

“Nuestros servidores DNS no se han comprometido”, dijo Race. “Los ejemplos proporcionados fueron dominios colgados que tenían archivos de zona creados por el actor de amenazas antes de que implementáramos nuestra mitigación el 23 de enero. Estos nombres de dominio estaban estacionados hasta que los actores de amenazas los activaron. Tenían la capacidad de hacerlo porque ya eran dueños de los archivos de zona. Continuamos revisando las cuentas de los clientes para otras entradas de zona potenciales “

La primera vez que surgió a principios de 2018, Gand Crab fue apodado “el ransomware multimillonario más popular del año”. La semana pasada, KrebsOnSecurity fue contactado por una empresa que golpeó a Gand Crab a fines de enero después de que un empleado fue admitido por lo que parece Será la misma campaña detallada por Virus Bulletin.

Charlene Price es copropietaria de AS Price Mechanical , una pequeña empresa de fabricación de metal en Gilbert, Carolina del Sur. Price dijo que un empleado fue engañado para que infectara uno de sus discos duros con Gand Crab, que cifró la unidad y exigió $ 2,000 en bitcoin por la clave necesaria para desbloquear los archivos.

Mientras Price y su esposo consultaron con expertos en tecnología y debatieron qué hacer a continuación, los extorsionadores duplicaron la demanda de rescate a $ 4,000.

Sitios como nomoreransom.org distribuyen herramientas gratuitas y tutoriales que pueden ayudar a algunas víctimas de ransomware a recuperar sus archivos sin tener que pagar una demanda de rescate, pero esas herramientas a menudo solo funcionan con versiones específicas de una determinada variedad de ransomware. Price dijo que la herramienta nomoreransom.org disponible para las infecciones de Gand Crab no pudo descifrar los archivos en su codificado disco duro.

“No es justo ni correcto y esto es injusto”, dijo Price. “Hemos aceptado el hecho, por ahora, de que simplemente hemos bloqueado la información de nuestra compañía. No sabemos nada sobre este tipo de problema, aparte de que tenemos que pagarlo o simplemente comenzar de nuevo “.

Si te gusto por favor comparte y sígueme tanto en Facebook como en Youtube para mas información como esta.

Fuente: https://krebsonsecurity.com/

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Crea tu página web en WordPress.com
Empieza ahora
A %d blogueros les gusta esto:
search previous next tag category expand menu location phone mail time cart zoom edit close