Cibercriminosos russos estão aproveitando uma vulnerabilidade crítica no Sistema de Nomes de Domínio (DNS) para assumir o controle de páginas legítimas, conforme revelou uma investigação feita por pesquisadores da Infoblox e da Eclypsium, apresentada na quarta-feira (31). Mais de 1 milhão de sites estão sob risco.
Batizado de “Sitting Ducks”, este ataque permite que o autor sequestre o domínio de um site registrado em um serviço DNS autorizado ou provedor de hospedagem sem acessar a conta do dono da página. Ao assumir o controle, ele pode realizar atividades maliciosas como distribuir malware e campanhas de phishing.
O ataque Sitting Ducks está ressurgindo em 2024, explorando falhas no sistema DNS.
Segundo o relatório, o ciberataque é fácil de executar e mais difícil de detectar do que outros métodos de sequestro de domínios, como CNAMEs (registro de Nome Canônico) pendentes. A técnica foi identificada pela primeira vez em 2016 e ressurgiu este ano, explorando falhas no sistema DNS.
Ainda conforme os especialistas em segurança cibernética, as ações recentes são lideradas por “mais de uma dúzia de criminosos cibernéticos da Rússia”. As duas empresas estão auxiliando as autoridades policiais e as Equipes Nacionais de Resposta a Emergências Informáticas (CERTs) nas investigações sobre o grupo.
"Totalmente evitável"
Além da facilidade de execução e dificuldade de detecção, o ataque Sitting Ducks também é totalmente evitável, como detalha o relatório. O problema está em configurações incorretas no registrador de domínio e no provedor DNS autoritativo, possibilitando que invasores reivindiquem a propriedade do domínio.
Para evitar o sequestro de sites, os investigadores sugerem que as vítimas em potencial confirmem se o provedor de DNS contratado exige verificação de propriedade de domínio. Além disso, ele deve oferecer outras ferramentas de proteção para mitigar os riscos.
- Saiba mais: Apagão da Microsoft aconteceu por ataque DDoS
Estima-se que pelo menos 35 mil domínios de sites tenham sido sequestrados desde 2018 utilizando este método, afetando páginas de dezenas de países. A exploração da vulnerabilidade tem sido aproveitada para promover campanhas de ameaças de bombas falsas e golpes de sextorsão, entre outras.
Categorias
