Incidentes

Microsoft confisca 22 dominios NO-IP y perjudica las operaciones de cibercriminales y programas maliciosos

NO-IP es uno de los muchos proveedores de DNS dinámicos que se pueden utilizar gratis para registrar un subdominio en nombres populares como “servepics.com” o “servebeer.com”. Por mucho tiempo, ha sido uno de los métodos favoritos de los cibercriminales para registrar nombres de servidores (hostnames) fáciles de actualizar que les permitan controlar sus programas maliciosos. Ayer, Microsoft se pronunció contra NO-IP y confiscó 22 de sus dominios . También realizó una demanda civil contra “Mohamed Benabdellah y Naser Al Mutairi, y la compañía estadounidense Vitalwerks Internet Solutions, LLC (que hace negocios con No-IP.com), por su participación en la creación, control y asistencia para infectar millones de ordenadores con programas maliciosos, dañando así a Microsoft, sus clientes y al público en general”.

Microsoft mencionó dos familias de malware específicas que se usaron “para infectar a víctimas inocentes con las familias de malware Bladabindi (NJrat) y Jenxcus (NJw0rm)”. Muchos cibercriminales y grupos de activistas han utilizado estos programas para atacar a los usuarios, incluyendo el famoso e infame Syrian Electronic Army (pronto publicaremos una entrada del blog con más detalles al respecto).

Además, el cierre afectó muchas otras operaciones de Amenazas Persistentes Avanzadas (APT) que empleaban NO-IP en su infraestructura C&C. Algunas de ellas son:

  • Flame/Miniflame
  • Turla/Snake/Uroburos, including Epic
  • Cycldek
  • Shiqiang
  • HackingTeam RCS customers
  • Banechant
  • Ladyoffice
  • etc…

Según nuestras estadísticas, el cierre ha afectado de una u otra forma por lo menos al 25% de los grupos de APTs que estamos observando. Algunos de estos servidores se habían utilizado antes en operaciones de ciberespionaje avanzadas y ahora dirigen a lo que parece ser una trampa sinkhole de Microsoft en 204.95.99.59.

Algunos de los dominios de nivel superior que se sacaron de Vitalwerks y ahora utilizan la infraestructura DNS de Microsoft son:

  • BOUNCEME.NET
  • MYFTP.BIZ
  • MYVNC.COM
  • NO-IP.BIZ
  • NO-IP.INFO
  • REDIRECTME.NET
  • SERVEBEER.COM
  • SERVEBLOG.NET
  • SERVECOUNTERSTRIKE.COM
  • SERVEGAME.COM
  • SERVEHALFLIFE.COM
  • SERVEHTTP.COM
  • SERVEMP3.COM
  • SERVEPICS.COM
  • SERVEQUAKE.COM
  • SYTES.NET

Mientras tanto, NO-IP / Vitalwerks ha publicado su respuesta en Internet :

“Parece que la infraestructura de Microsoft no puede manejar los miles de millones de solicitudes de nuestros clientes. Millones de usuarios inocentes están sufriendo cortes en sus servicios debido a los intentos de Microsoft de remediar los servidores de unos pocos usuarios maliciosos”.

Creemos que las acciones de ayer han sido un duro golpe contra muchos cibercriminales y operaciones APT de todo el mundo.

En el futuro, estos grupos tendrán más cuidado cuando usen servidores DNS dinámicos y aumentarán su dependencia hacia sitios comprometidos y direcciones IP directas para la gestión de sus infraestructuras de Comando y Control.

Microsoft confisca 22 dominios NO-IP y perjudica las operaciones de cibercriminales y programas maliciosos

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada