Infoblox Threat Intel publicó un nuevo estudio con las últimas novedades en la utilización de algoritmos de generación de dominios registrados (RDGA) por parte de actores maliciosos.
Un algoritmo RDGA se diferencia del algoritmo de generación de dominios de malware (DGA) tradicional en que todos los dominios que se generan son registrados, no sólo una parte de ellos, lo que permite escalar los ataques rápidamente y evitar que sean detectados.
El estudio pone de manifiesto que el uso de este tipo de generadores de dominios ha aumentado en los últimos años y se emplean en múltiples y variados casos de uso, desde ciberestafas y phising hasta difusión de malware. Los algoritmos RDGA se han convertido en una herramienta fundamental dentro del conjunto de técnicas utilizadas por los actores maliciosos y suponen una amenaza importante y subestimada.
Con el uso de RDGA, los actores pueden escalar fácilmente sus operaciones de spam, malware y estafas, a menudo sin ser detectados por los actores de inteligencia de ciberseguridad del mercado. Además, la automatización en los servicios de registro de dominios facilita a los ciberdelincuentes el uso de esta técnica.
Infoblox Threat Intel ha desarrollado múltiples algoritmos para descubrir y rastrear dominios generados mediante RDGA, incluso aquellos que están en estado de desarrollo por parte de nuevas entidades de dominios.
Utilizando estos algoritmos como detectores, Infoblox ha podido identificar decenas de miles de nuevos dominios potencialmente maliciosos cada día, y clasificarlos en grupos de recursos que son controlados por actores maliciosos. Es de destacar que la mayoría de estos dominios pasan desapercibidos para la mayoría de proveedores de soluciones de la seguridad.
El ejemplo más notable identificado por Infoblox es un RDGA controlado por un actor malicioso que ha registrado más de 500.000 dominios, y que Infoblox Threat Intel ha denominado Revolver Rabbit, que ha debido suponer un coste para este actor de más de un millón de dólares en tarifas de registro.
Fuente: Infoblox
