Auge del uso de algoritmos RDGA para crear ciberamenazas masivas
El uso de algoritmos RDGA para la generación y registro masivo de dominios está facilitando la creación de ciberamenazas indetectables. Infoblox identifica a Revolver Rabbit.
Infoblox Threat Intel, la unidad de inteligencia de ciberseguridad de Infoblox, ha publicado un nuevo estudio con las últimas novedades en la utilización de algoritmos de generación de dominios registrados (RDGA) por parte de actores maliciosos.
Un algoritmo RDGA se diferencia del algoritmo de generación de dominios de malware (DGA) tradicional en que todos los dominios que se generan son registrados, no sólo una parte de ellos, lo que permite escalar los ataques rápidamente y evitar que sean detectados. Esta técnica fue por primera vez descrita por Infoblox en octubre de 2023.
Aumento de los algoritmos RDGA
El estudio pone de manifiesto que el uso de este tipo de generadores de dominios ha aumentado en los últimos años y se emplean en múltiples y variados casos de uso, desde ciberestafas y phishing hasta difusión de malware. Los algoritmos RDGA se han convertido en una herramienta fundamental dentro del conjunto de técnicas utilizadas por los actores maliciosos y suponen una amenaza importante y subestimada. Con el uso de RDGA, los actores pueden escalar fácilmente sus operaciones de spam, malware y estafas, a menudo sin ser detectados por los actores de inteligencia de ciberseguridad del mercado. Además, la automatización en los servicios de registro de dominios facilita a los ciberdelincuentes el uso de esta técnica.
Infoblox Threat Intel ha desarrollado múltiples algoritmos para descubrir y rastrear dominios generados mediante RDGA, incluso aquellos que están en estado de desarrollo por parte de nuevas entidades de dominios. Utilizando estos algoritmos como detectores, Infoblox ha podido identificar decenas de miles de nuevos dominios potencialmente maliciosos cada día, y clasificarlos en grupos de recursos que son controlados por actores maliciosos. Es de destacar que la mayoría de estos dominios pasan desapercibidos para la mayoría de proveedores de soluciones de la seguridad.
Revolver Rabbit: un actor malicioso que ha registrado más de 500.000 dominios
El ejemplo más notable identificado por Infoblox es un RDGA controlado por un actor malicioso que ha registrado más de 500.000 dominios, y que Infoblox Threat Intel ha denominado Revolver Rabbit. Este actor ha incurrido en un coste de más de un millón de dólares en tarifas de registro. Después de rastrear la actividad de este actor durante casi un año, y sin que diera muestras de actividad maliciosa, a pesar del gran número de dominios registrados, Infoblox Threat Intel descubrió que Revolver Rabbit usa RDGA para crear dominios de comando y control (C2) y dominios señuelo (decoy domains) para el malware XLoader (también conocido como Formbook). Este malware es una agente de exfiltración de datos cuyo vector de ataque suelen ser correos electrónicos de phishing.
Infoblox Threat Intel realiza de forma sistemática estudios y análisis del panorama de ciberamenazas relacionadas con DNS, y ha sido el primero en identificar numerosos actores maliciosos que utilizan dominios como parte de su kit de herramientas dentro de la cadena de suministro de sus actividades. Entre ellos se encuentran acortadores de enlaces maliciosos (Prolific Puma) y sistemas de distribución de tráfico (VexTrio Viper/Savvy Seahorse).