751 dominios secuestrados para redirigir el tráfico a Exploits Kits



El 7 de julio, el registrador de dominio francés Gandi perdió el control sobre 751 dominios de sus clientes, que tenían sus registros DNS alterados para señalar el tráfico entrante a sitios web que alojaban exploits kits.

El secuestro de dominio estuvo activo durante sólo unas pocas horas, entre las 12:50 UTC y las 13:30 UTC, aunque los registros DNS de algunos dominios se propagaron más lentamente y todavía redirigieron el tráfico de usuarios hasta las 18:02 UTC.

El atacante obtuvo una de las contraseñas de Gandi


En un informe detallando el incidente, el personal de Gandi dice que el secuestro fue posible porque un atacante fue capaz de obtener una de las contraseñas de un cliente final proporcionado por uno de los socios técnicos de Gandi.

Las credenciales comprometidas permitieron que el personal de Gandhi y otros sistemas automatizados se conectaran a un cliente final y administraran detalles de DNS para 34 extensiones de TLD. La lista completa de TLDs afectados incluye:

.ASIA, .AT, .AU, .CAT, .CH, .CM, .CZ, .ES, .GR, .HK, .IM, .IT, .JP, .LA, .LI, .LT, .LV , .MG, .MS, .MU, .NL, .NU, .NZ, .PE, .PH, .PL, .RO, .RU, .SE, .SH, .SI, .SX, .UA,. XN - P1AI (.
Gandi es seguro con sus permisos ya queno han sufrido anteriormente de una brecha, y sospechan que el socio técnico era culpable.

"Creemos firmemente que lo obtuvieron de una conexión insegura al portal web de nuestro socio técnico", dijo el equipo de Gandi, "la plataforma web en cuestión permite el acceso a través de http".

Tráfico redirigido a los exploits kits.

La firma suiza de seguridad cibernética SCRT fue una de las entidades afectadas, cuyos dominios fueron secuestrados por el atacante. Según su propio informe , el tráfico de su dominio fue redirigido a exploits kits. Un informe de SWITCH , el registrador nacional de dominios para Suiza y Liechtenstein, afirmó que el trafico secuestrado llegó a los servidores que albergan los exploits kits Neutrino y RIG.

El atacante (s) también secuestró el correo electrónico DNS MX y registros SPF. SCRT, Gandi señaló que el atacante nunca ha configurado servidores para interceptar mensajes de correo electrónico. El evento de secuestro de dominio también interrumpió el tráfico HTTPS entrante a los dominios afectados.

Tras el incidente, Gandi restableció todas las contraseñas de todas las cuentas que utiliza para administrar las entradas de TLD en los registradores del país y del dominio específico.

La semana pasada, un investigador de seguridad descubrió que podría haber secuestrado todos los dominios .IO simplemente registrando un dominio.IO.

En abril, investigadores de seguridad de Kaspersky revelaron que el 22 de octubre del 2016, un atacante desconocido había secuestrado los registros DNS de los dominios completos de un banco brasileño con el fin de robar las credenciales de inicio de sesión de sus clientes.