22% dos endereços não-ativos da internet são usados em ataques virtuais

O número de domínios maliciosos que estão dormentes, ou seja, indisponíveis na internet até ordem de seus controladores, vem crescendo. Segundo relatório da empresa de segurança Palo Alto Network, 22,3% de todos os endereços não-ativos podem estar em posse de criminosos.

• Criminosos chineses usam falhas Log4J para invadir empresas
• O que é exploit?

A pesquisa foi feita com a avaliação de domínios dormentes durante todo o mês de setembro de 2021. Das amostras, foi possível concluir que aproximadamente 3.8% do total são maliciosos, 19% são suspeitos e 2% não devem ser acessados em ambientes corporativos.

Criminosos gostam de usar esse tipo de domínio em seus crimes já que, por serem ativos há mais tempo e sem nenhum tipo de atividade suspeita, não são tratados como ameaças por soluções de segurança. Isso aumenta as chances de eles serem usados como vetores de infecções virtuais bem sucedidas. Endereços novos, por outro lado, são geralmente encarados como riscos de segurança.

Por fim, o relatório também indicou que os domínios ficam dormentes por cerca de dois anos até começarem a ser utilizados em ataques de negação de serviço (o famoso DDoS), com picos de tráfico até 165 vezes maiores que o normal.

Como identificar

Domínios dormentes são usados tanto para ataques DDoS quanto para campanhas de phishingou de ransomware, onde falsos redirecionamentos levam possíveis vítimas aos endereços maliciosos.

Para os usuários comuns da internet, a identificação desse tipo de endereço pode ser feita a partir de uma análise do conteúdo mostrado por ele. Se somente informações e layouts genéricos estiverem presentes, é bom suspeitar.

Já para soluções de segurança, é importante que as empresas comecem a monitorar padrões DNS dos sites, para assim identificar padrões que podem ser suspeitos e começar os procedimentos de proteção e mitigação de ameaças.

Fonte: BleepingComputer