This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Hacked Ir sitios papá infectar a los usuarios con ransomware

Filed Under: Malware, Ransomware, Security threats, SophosLabs

Go Daddy Los usuarios se infecte con ransomware gracias a la gestión de los criminales de hackear los registros DNS de Go Daddy sitios web alojados.

Eso no es buena noticia para el mayor registrador de dominios del mundo, su nombre, sobre todo tan pronto después del reciente ataque de denegación de servicio .

Para entender cómo funcionan estos ataques, una breve introducción sobre DNS es necesario.

En pocas palabras, DNS proporciona un sistema en el que los ordenadores de una red (Internet) puede hacer referencia a un nombre fácil de usar. Estos nombres se conocen como nombres de host, y DNS los traduce en lo que se conoce como una dirección IP.

Una característica clave del DNS es que se pueden realizar cambios y se aplican muy rápidamente, permitiendo que los recursos a ser movido entre las máquinas / redes / ubicaciones sin afectar a los usuarios finales. Los nombres de host se mantienen constantes, y el DNS se encarga de cualquier cambio en la dirección IP como el traslado de recursos.

En esta actual ola de ataques, los criminales están explotando DNS por el pirateo de los registros DNS de sitios, incluyendo uno o más subdominios adicionales con sus correspondientes entradas DNS (registros A) hacen referencia a direcciones IP maliciosas. Los nombres de host se resuelve legítimos a la legítima dirección IP, pero el agregado subdominios para resolver servidores piratas.

Esto permite a los atacantes el uso legítimo de aspecto URLs en sus ataques, lo que puede ayudar a evadir el filtrado de seguridad y engañar a los usuarios haciéndoles creer que el contenido debe ser seguro.

En algunos casos, los usuarios han tenido varios subdominios añadió, apuntando a una o más direcciones IP maliciosas.

owner.[redacted].com
move.[redacted].com
mouth.[redacted].com
much.[redacted].com
muscle.[redacted].info
music.[redacted].mobi

Los servidores piratas está ejecutando un paquete de exploits que se hace llamar 'Cool EK'.

Como señaló la semana pasada , esto es realmente muy similar a Blackhole explotar kit .

El origen ruso del kit es evidente a partir de la página de inicio de sesión del panel de administración.

Los usuarios que golpean el sitio malicioso es golpeado con varios archivos maliciosos, explotando varias vulnerabilidades, con el fin de infectar con ransomware.

  • serpiente. [redactados] .info / r / l / por cierto-devices.php (explotar página de destino, Mal / ExpJS AV )
  • serpiente. [redactados] .info/r/32size_font.eot (CVE-2011-3402, Troj / DexFont-A )
  • serpiente. [redactados] .info / r / media / archivo.jar ( Mal / JavaGen-E )
  • serpiente. [redactados] .info / r / f.php? k = 1 & e = 0 & f = 0 (carga útil ransomware, Troj / Ransom-KM)

Una vez en funcionamiento, el ransomware muestra la página de pago familiar, con contenidos que varían en función del país de la víctima.

He aquí un ejemplo británico, que utiliza el nombre de la Central de Policía E-Crime Unidad:

Y este es el tipo de página de bloqueo que se vería si usted vivió en, por ejemplo, Bulgaria:

Observe el uso de un GIF animado en esta página de bloqueo para imitar el video de la cámara web del usuario! Este tipo de atención al detalle es lo que ayuda a convencer a muchos usuarios que la advertencia es legítimo.

En el momento de escribir esto, una pregunta importante sigue sin respuesta. ¿Cómo fueron los atacantes capaces de hackear estas Go Daddy registros DNS?

Una causa probable se ve comprometida credenciales de usuario (contraseñas robadas o débil). Para confirmar esto me sugirió uno de los webmasters afectados comprobar su actividad de inicio de sesión histórica. Lamentablemente, este no parece ser fácilmente posible para los usuarios. Por otra parte, la respuesta de Go Daddy ofrece ninguna ayuda también.

Gracias por contactar con Soporte en línea sobre su cuenta. Te informamos de que los dispositivos de seguridad y protocolos establecidos para proteger nuestra red e infraestructura. Como se ha dicho anteriormente, no podemos divulgar información sobre las cuentas de acceso o de la actividad. Si usted cree que alguien ha accedido a su cuenta, la mejor defensa es cambiar su contraseña. Por favor, consulte nuestra respuesta anterior para obtener instrucciones sobre cómo hacer esto.

Suspiro. Permitir a los usuarios ver la actividad de inicio de sesión histórica es una forma muy sencilla de ayudar a detectar actividades maliciosas antes. Esperemos que Go Daddy cambiar su postura al respecto.

Go Daddy Dada la prevalencia de ataques contra sitios Web con el propósito de distribución de malware ya es hora de que los servicios asociados (Registradores, hosting, etc proveedores) prestar la debida atención a la seguridad.

Los usuarios no deberían estar autorizados a utilizar contraseñas débiles. Autenticación de dos factores deben ser de fácil acceso, si no se cumple.

Con un poco de previsión y la consideración de lo que sucede cuando las llaves del reino se pierden, las actividades maliciosas pueden romperse con mayor rapidez.

Ir clientes papá que deseen comprobar que no se han visto afectados por estos ataques deben revisar su configuración DNS de acuerdo con el Go Daddy página de soporte .

Además de ponerse en contacto con algunos de los webmasters afectados, hemos contactado con Go Daddy para alertarlos sobre estos ataques.

Gracias a los webmasters que respondieron a mis notificaciones acerca de estos ataques, cuya entrada era muy útil en la elaboración de los contenidos para este post.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Fraser is one of the Principal Virus Researchers in SophosLabs. He has been working for Sophos since 2006, and his main interest is in web related threats.