Con motivo de una nueva investigación de Infoblox sobre el algoritmo de generación de dominios (DDGA, por sus siglas en inglés) VexTrio, que su Grupo de Inteligencia de Amenazas ha rastreado desde febrero de 2022, la líder de dicha unidad, Renée Burton, advirtió que es “la mayor amenaza” a la que sus clientes se enfrentan, aunque “suena dramático”.
Un algoritmo de generación de dominios (DGA) es una técnica cada vez más popular entre ciberdelincuentes por lo difícil de contrarrestar. Se basa en la utilización de algoritmos para generar periódicamente una gran cantidad de nombres de dominio que funcionan como puntos de encuentro para servidores de comando y control de malware.
Un DDGA, como VexTrio, usa palabras basadas en diccionarios y las combina aleatoriamente para generar dominios con una apariencia no legible por humanos.
El reporte Cybercrime Central: VexTrio Operates Massive Criminal Affiliate Program, revelado el martes, descubrió un conjunto de relaciones maliciosas a gran escala que involucran a VexTrio, el framework malicioso de JavaScript ClearFake, la amenaza de acceso inicial socGlolish y muchos otros actores anónimos.
Burton fue enfática: “Para mí, es un enfoque sencillo que deberíamos aplicar de forma directa, como lo hace la ley en cualquier situación de crimen organizado del mundo real: centrarnos en la mafia, no en los secuaces”.
VexTrio tiene al menos 60 socios afiliados
Entre los principales hallazgos del reporte de Infoblox destaca la existencia de algunos indicios de que VexTrio podría ser un afiliado de Google y el sitio Benaughty, los cuales ofrecen un programa de marketing de afiliados.
Además, halló que su actividad ha afectado a la mitad de todas las redes de clientes de Infoblox en los últimos dos años —19% registraron actividad diaria en 2020— y que controla múltiples redes de sistemas de distribución de tráfico (TDS, por sus siglas en inglés). A finales de diciembre pasado se observó por primera vez un nuevo TDS basado en DNS.
Con la enorme cantidad de sitios de WordPress comprometidos que existen en internet, aprovechar al máximo los visitantes de esos sitios hace que el uso de un TDS sea una opción natural para los ciberdelincuentes.
Un TDS redirige al usuario a otro dominio, normalmente una página de destino de afiliado, pero posiblemente a otro TDS. El contenido de la página de destino final lo determinan los llamados editores. Los actores de amenazas han copiado todos los aspectos de la industria publicitaria con fines maliciosos.
De acuerdo con la empresa especializada en plataformas de nube para seguridad y redes, el DNS desempeña un papel fundamental en la ciberseguridad, ya que es el primer punto de contacto para la mayoría de las comunicaciones por internet y puede bloquear las amenazas antes de que sean detectadas.
La investigación concluye que “VexTrio es la amenaza más generalizada en las redes de nuestros clientes. Al operar una red masiva propia, se ve en más redes que cualquier otro actor y representa la mayor cantidad de amenazas por volumen de consultas”.
También destaca el importante papel de las empresas TDS en la economía del cibercrimen, estimada en $8,000 millones de dólares. De hecho, VexTrio tiene al menos 60 socios afiliados.
“Como perseguir al traficante de drogas de la esquina”
La directora de Inteligencia sobre Amenazas de Infoblox, Renée Burton, apuntó que “centrarse en bloquear sistemas de distribución de tráfico, como VexTrio —que opera como distribuidor del cibercrimen organizado—, es más eficaz que perseguir sitios de phishing o malware individuales, de forma similar a cómo las fuerzas del orden apuntan a organizaciones criminales en lugar de a traficantes callejeros.
A continuación, una parte de la conversación con Burton en torno a los hallazgos del estudio y la visión de la compañía con sede en Santa Clara, California (Estados Unidos), para combatir a los cibercriminales.
¿Cómo explicarías VexTrio?
Hay muchas amenazas que se encuentran en el espacio de nombres de dominio, que en realidad no son la página de phishing. Ese es el caso que vemos en esta investigación con VexTrio. No es el phishing individual. No es una pieza de malware. Son los distribuidores quienes están haciendo todo eso posible y eso se está ignorando por completo. Es esencialmente el intermediario y la analogía que uso con la gente es el crimen organizado o el tráfico de drogas: perseguir una página de phishing es como perseguir al traficante de drogas de la esquina. Esa no es la forma de detener a un cartel de la droga. Hay que perseguir a quienes la distribuyen.
¿Y cómo lograrlo?
Eso es lo que puedes hacer con DNS que no puedes hacer en ninguno de los otros marcos de seguridad, porque no puedes ver el crimen organizado. Estás mirando el punto final, la página de phishing o el malware; es decir, al despachador en la calle.
La relevancia de las empresas de TDS
Infoblox tiene protección DNS, pero no todos comprenden su importancia. ¿Por qué juega un papel clave a la hora de detener a los ciberdelincuentes?
Si lo pensamos bien, el DNS es el primer lugar de contacto cuando visitamos un sitio web. Cada vez que vamos a hacer algo en internet, pasamos por la cadena de resolución de DNS. Y entonces, si nuestros resolutores en esa cadena son capaces de tomar decisiones en nuestro nombre, sobre si debemos ir o no a esa ubicación o si debemos comunicarnos con esa ubicación, entonces pueden bloquear algo antes de que lo podamos ver. Esa es la forma más fácil de pensarlo.
Tengo un sitio de phishing. Y Google Safe Browsing, por ejemplo, funciona así, ¿verdad? La gente está familiarizada con eso. Reciben lo que dice Google, como si el sitio pareciera inseguro. Esto se debe a que están intentando realizar una resolución de DNS. Saben que este sitio web es malo y lo bloquean. Pero eso es sólo el pedacito del iceberg de lo que puede hacer el DNS. Porque todas las comunicaciones, con la excepción de aquellas entre una IP y otra IP —que a menudo está bloqueado de todos modos—, utilizan DNS.
Google intenta bloquear el malvertising, pero los distribuidores como VexTrio están en continua metamorfosis para no ser detectados. ¿Por ello Infoblox subraya el rol de las empresas de TDS en el bloqueo del cibercrimen?
Correcto. Esa es la pregunta clave y también el factor clave que el DNS le brinda. Tal como lo haría un distribuidor con el marketing legítimo, estos sistemas de distribución de tráfico dirigen a la víctima a un anuncio falso o le envían un correo electrónico, de manera que lo llevan a visitar un sitio web comprometido. VexTrio es una empresa ilegítima, donde están los tipos a los que estamos rastreando. Así que no dedicamos mucho tiempo a los sitios comprometidos, porque no tiene caso bloquearlos, ya que son sitios reales. Cuando se bloquea la actividad de VexTrio o cualquier tipo de actividad de los sistemas de distribución de tráfico de amenazas, independientemente de quién se vea comprometido o de qué tipo de estafa se trate —malware u otro ataque le realicen al usuario— usted ha podido bloquear la comunicación correctamente. Ahí está el jugo: estás bloqueando al distribuidor. Eso es exactamente lo que sucede en el mundo de los cárteles de la droga. ¿Verdad? Son los que hacen ese envío, o la trata de personas o lo que sea. Son los transportistas a los que estás deteniendo.
Un bloqueo de dominios con menos de 1% de falsos positivos
¿Cómo evitar entonces bloquear un sitio legítimo?
Eso es lo que se hacía alrededor de 2012, bloquear cosas a través del DNS, de un firewall. De manera muy inocente se pensaba que si eliminabas las páginas de phishing podías controlar los sitios comprometidos. Pero sí, para utilizar este tipo de tecnología de manera efectiva, la inteligencia debe estar estrictamente perfeccionada para DNS. Y ese es el nicho que tenemos. El grupo a mi cargo está especializado en inteligencia diseñada para DNS, eso es todo lo que hacemos. No nos centramos en el malware, ni en los kits de phishing, ni en todas las demás cosas que todos los demás hacen. Nos centramos en DNS, y luego el resultado es a lo largo del año calendario. A finales de 2023, sumamos unos 38 millones de dominios en nuestras listas de bloqueo, y tuvimos 98 falsos positivos, como 0.000017%. Por eso nunca impactamos negativamente a más de uno de nuestros clientes. No bloquearemos un sitio comprometido. Eso es lo que estamos tratando de hacer. Estamos bloqueando los sitios que ahora están haciendo cosas malas, los que distribuyen las amenazas. Nos aseguramos de no impactar el desempeño de las redes de nuestros clientes.
A propósito de inteligencia, ¿cómo han integrado la inteligencia artificial (AI, por sus siglas en inglés) en sus soluciones?
La AI actual que estás viendo es simplemente un crecimiento natural de todo el trabajo que se ha realizado desde los años 1950. Todo está basado en estadística y matemáticas. Infoblox fue el primero en tener algoritmos estadísticos de aprendizaje automático para la detección de streaming, por ejemplo, para túneles DNS y DGA, en 2015. Y luego lo introdujimos y lanzamos en nuestro producto. Desde entonces hemos seguido agregando más y más. Usamos algoritmos en segundo plano, básicamente usamos cualquier cosa que podamos para resolver nuestro problema. Y todos ellos caen bajo el concepto general actual de inteligencia artificial, pero en realidad son una gama muy amplia de algoritmos complejos.
¿Cuál sería su recomendación en general a los CIO y CISO?
Esto me apasiona. Creo en DNS porque es muy poderoso y está en la primera línea. La forma en que generalmente recomiendo que nuestros clientes manejen las cosas es bloquear y olvidar. Entonces, la mayoría de las veces, cuando bloqueamos esas amenazas, el SOC nunca necesita mirarlas porque nunca sucedieron. Ahora pueden regresar a labores estratégicas, como dijimos antes. Si soy el Gobierno de la Ciudad de México. ¿Qué es lo que más he visto en mi red? Ahora puedo empezar a pensar cómo lo evalúo. ¿Tengo algún problema con mis dispositivos? ¿Estoy siendo un objetivo? ¿Cambio mi entrenamiento? Puedo pensar de manera más integral. Pero en su mayor parte, literalmente voy a ignorarlo casi todo.
¿Se puede ignorar casi todo?
Infoblox también ofrece otros productos para las cosas que no desea ignorar, por ejemplo, como malware, comunicación de comando y control donde podría tener un dispositivo infectado, si una caja tiene la manera de reducirlo en pequeños ítems de acción, en información pequeña, procesable y muy detallada sobre su tráfico para que pueda localizar ese dispositivo.
El papel de Infoblox
La solución de protección avanzada de DNS tiene como objetivo minimizar los falsos positivos y los impactos negativos en los sitios legítimos o el rendimiento de la red, mediante el uso de inteligencia diseñada específicamente para las amenazas de DNS.
BloxOne Threat Defense de Infoblox utiliza capacidades de respuesta y detección de DNS para bloquear amenazas basadas en fuentes de inteligencia, lo que permite a los clientes implementar respuestas a partir de políticas complejas.
Tiene como objetivo “bloquear y olvidar” la mayoría de las amenazas a nivel de DNS para que los analistas de seguridad no tengan que revisarlas manualmente, liberando tiempo para un trabajo más estratégico.
¿En dónde está su diferencial?
Lo interesante de Infoblox es que somos el proveedor de administración de IP y DHCP de DNS, a diferencia de muchos productos de seguridad que dicen: “Oye, amigo, vi algo malo en tu red”. De hecho, nosotros tenemos la dirección IP y tenemos la conexión al Directorio Activo y sabemos qué tipo de dispositivo era. Entonces podemos conectar todas esas piezas. Tenemos un enfoque holístico a nivel de la red.
