NO-IP es uno de los muchos proveedores de DNS dinámicos que se pueden
utilizar gratis para registrar un subdominio en nombres populares como
“servepics.com” o “servebeer.com”. Por mucho tiempo, ha sido uno de los
métodos favoritos de los cibercriminales para registrar nombres de
servidores (hostnames) fáciles de actualizar que les permitan controlar
sus programas maliciosos. Ayer, Microsoft se pronunció contra NO-IP y confiscó 22 de sus dominios . También realizó una demanda civil contra "Mohamed
Benabdellah y Naser Al Mutairi, y la compañía estadounidense Vitalwerks
Internet Solutions, LLC (que hace negocios con No-IP.com), por su
participación en la creación, control y asistencia para infectar
millones de ordenadores con programas maliciosos, dañando así a
Microsoft, sus clientes y al público en general".
Microsoft
mencionó dos familias de malware específicas que se usaron “para
infectar a víctimas inocentes con las familias de malware Bladabindi
(NJrat) y Jenxcus (NJw0rm)". Muchos cibercriminales y grupos de
activistas han utilizado estos programas para atacar a los usuarios,
incluyendo el famoso e infame Syrian Electronic Army (pronto
publicaremos una entrada del blog con más detalles al respecto).
Además,
el cierre afectó muchas otras operaciones de Amenazas Persistentes
Avanzadas (APT) que empleaban NO-IP en su infraestructura C&C.
Algunas de ellas son:
- Flame/Miniflame
- Turla/Snake/Uroburos, including Epic
- Cycldek
- Shiqiang
- HackingTeam RCS customers
- Banechant
- Ladyoffice
- etc...
Según
nuestras estadísticas, el cierre ha afectado de una u otra forma por lo
menos al 25% de los grupos de APTs que estamos observando. Algunos de
estos servidores se habían utilizado antes en operaciones de
ciberespionaje avanzadas y ahora dirigen a lo que parece ser una trampa
sinkhole de Microsoft en 204.95.99.59.
Algunos de los dominios de nivel superior que se sacaron de Vitalwerks y ahora utilizan la infraestructura DNS de Microsoft son:
- BOUNCEME.NET
- MYFTP.BIZ
- MYVNC.COM
- NO-IP.BIZ
- NO-IP.INFO
- REDIRECTME.NET
- SERVEBEER.COM
- SERVEBLOG.NET
- SERVECOUNTERSTRIKE.COM
- SERVEGAME.COM
- SERVEHALFLIFE.COM
- SERVEHTTP.COM
- SERVEMP3.COM
- SERVEPICS.COM
- SERVEQUAKE.COM
- SYTES.NET
Mientras tanto, NO-IP / Vitalwerks ha publicado su respuesta en Internet :
“Parece
que la infraestructura de Microsoft no puede manejar los miles de
millones de solicitudes de nuestros clientes. Millones de usuarios
inocentes están sufriendo cortes en sus servicios debido a los intentos
de Microsoft de remediar los servidores de unos pocos usuarios
maliciosos".
Creemos que las acciones de ayer han sido un duro golpe contra muchos cibercriminales y operaciones APT de todo el mundo.
En
el futuro, estos grupos tendrán más cuidado cuando usen servidores DNS
dinámicos y aumentarán su dependencia hacia sitios comprometidos y
direcciones IP directas para la gestión de sus infraestructuras de
Comando y Control.
Fuente
Saludos.
Lexer Pars.
No hay comentarios:
Publicar un comentario