Latinoamérica. Infoblox Threat Intel, la unidad de inteligencia de seguridad de Infoblox, ha identificado un actor malicioso, denominado Hazy Hawk, dedicado al secuestro de subdominios a partir de recursos en la nube abandonados o no utilizados por sus propietarios.
Hazy Hawk utiliza archivos DNS olvidados que se encuentran en servicios cloud como buckets de Amazon S3 y endpoints de Azure para tomar el control de estos recursos y alojar URLs perjudiciales. Estas URLs se emplean para llevar a cabo fraudes cibernéticos de gran magnitud y propagar malware.
Este actor usa técnicas de secuestro de dominios, explotando configuraciones incorrectas de DNS en la nube que requieren acceso a servicios DNS pasivos. Los dominios secuestrados se emplean en campañas de fraude que afectan a millones de usuarios en todo el mundo y generan pérdidas económicas.
El incremento en la utilización de servicios en la nube por empresas ha generado un aumento en recursos desocupados que siguen en funcionamiento, propiciando este tipo de ataques. Hazy Hawk ha llevado a cabo secuestros en subdominios de entidades en Norteamérica, que incluyen agencias gubernamentales, universidades y corporaciones multinacionales.
Para combatir estas amenazas, Infoblox aconseja establecer capas de seguridad fundamentadas en servicios DNS, como Protective DNS, llevar a cabo revisiones regulares de los registros DNS y suprimir los registros vinculados a servicios en la nube desactivados. Además, es imprescindible formar a los usuarios para prevenir ser víctimas de fraudes a través de alertas push de sitios desconocidos.
Este caso ilustra la relevancia de una administración completa y monitoreada de los recursos en la nube para evitar el secuestro de dominios y salvaguardar la seguridad de la empresa.
