Durante la semana pasada, los dominios asociados con la masiva aisuru botnet ha usurpado repetidamente Amazonas, Manzana, Google y microsoft en el ranking público de Cloudflare de los sitios web más solicitados. Cloudflare respondió eliminando los nombres de dominio de Aisuru de su lista de sitios web principales. El director ejecutivo de Cloudflare dice que los señores supremos de Aisuru están utilizando la botnet para mejorar su clasificación de dominios maliciosos, al mismo tiempo que atacan el servicio del sistema de nombres de dominio (DNS) de la empresa.
Las posiciones número 1 y 3 en este gráfico son controladores de botnet Aisuru con sus nombres de dominio completos redactados. Fuente: radar.cloudflare.com.
Aisuru es una botnet de rápido crecimiento que comprende cientos de miles de dispositivos de Internet de las cosas (IoT) pirateados, como enrutadores de Internet y cámaras de seguridad mal protegidos. La botnet tiene aumentó significativamente en tamaño y potencia de fuego desde su debut en 2024demostrando la capacidad para lanzar ataques récord de denegación de servicio distribuido (DDoS) acercándose a los 30 terabits de datos por segundo.
Hasta hace poco, el código malicioso de Aisuru ordenaba a todos los sistemas infectados que utilizaran servidores DNS de Google, específicamente los servidores en 8.8.8.8. Pero a principios de octubre, Aisuru pasó a invocar el servidor DNS principal de Cloudflare (1.1.1.1) y durante la semana pasada los dominios utilizados por Aisuru para controlar los sistemas infectados comenzaron a ocupar los primeros rankings de dominios de Cloudflare.
A medida que las capturas de pantalla de los dominios de Aisuru que ocupaban dos de las 10 posiciones principales aparecían en las redes sociales, muchos temían que esto fuera otra señal de que una botnet ya indomable se estaba volviendo completamente loca. Un dominio de botnet Aisuru que ocupó un lugar destacado durante días en el puesto número 1 de la lista fue la dirección postal de alguien en Massachusetts seguida de “.com”. Otros dominios de Aisuru imitaban los de los principales proveedores de nube.
Cloudflare intentó abordar estas preocupaciones de seguridad, confusión de marca y privacidad redactando parcialmente los dominios maliciosos y agregando una advertencia en la parte superior de sus clasificaciones:
«Tenga en cuenta que los 100 dominios principales y las listas de dominios de tendencia incluyen dominios con actividad orgánica, así como dominios con comportamiento malicioso emergente».
Director ejecutivo de Cloudflare Príncipe Mateo dijo a KrebsOnSecurity que el sistema de clasificación de dominios de la compañía es bastante simplista y que simplemente mide el volumen de consultas DNS hasta 1.1.1.1.
«El atacante simplemente está generando un montón de solicitudes, tal vez para influir en la clasificación pero también para atacar nuestro servicio DNS», dijo Prince, y agregó que Cloudflare ha escuchado informes de otros grandes servicios DNS públicos que han experimentado un aumento similar en los ataques. «Estamos arreglando la clasificación para que sea más inteligente. Y, mientras tanto, eliminando cualquier sitio que clasifiquemos como malware».
René Burtonvicepresidente de información sobre amenazas en la empresa de seguridad DNS Infobloxdijo que muchas personas asumieron erróneamente que las clasificaciones sesgadas de los dominios de Cloudflare significaban que había más dispositivos infectados por bots que dispositivos normales que consultaban sitios como Google, Apple y Microsoft.
«La documentación de Cloudflare es clara: saben que cuando se trata de clasificar dominios hay que tomar decisiones sobre cómo normalizar las cosas», Burton escribió en LinkedIn. «Hay muchos aspectos que simplemente están fuera de tu control. ¿Por qué es difícil? Por razones. Valores TTL, almacenamiento en caché, captación previa, arquitectura, equilibrio de carga. Cosas que tienen control compartido entre el propietario del dominio y todo lo demás».
Alex Groenlandia es director ejecutivo de la empresa de seguridad y antiphishing Epi. Greenland dijo que comprende la razón técnica por la cual los dominios de botnet Aisuru aparecen en las clasificaciones de Cloudflare (esas clasificaciones se basan en el volumen de consultas de DNS, no en las visitas web reales). Pero dijo que todavía no deben estar allí.
«Es un fracaso por parte de Cloudflare y revela un compromiso de la confianza y la integridad de sus clasificaciones», dijo.
Greenland dijo que Cloudflare planeó que su ranking de dominios enumerara los dominios más populares utilizados por usuarios humanos, y que nunca pretendió ser un cálculo bruto de la frecuencia de consultas o el volumen de tráfico que pasa por su solucionador de DNS 1.1.1.1.
«Explicaron cómo su algoritmo de popularidad está diseñado para reflejar el uso humano real y excluir el tráfico automatizado (dijeron que son buenos en esto)», Groenlandia. escribió en LinkedIn. «Así que es evidente que algo ha ido mal internamente. Deberíamos tener dos clasificaciones: una que represente la confianza y el uso humano real, y otra derivada del volumen de DNS sin procesar».
¿Por qué podría ser una buena idea separar completamente los dominios maliciosos de la lista? Greenland señala que Cloudflare Domain Rankings ve un uso generalizado para la determinación de confianza y seguridad, por parte de navegadores, solucionadores de DNS, API de navegación segura y cosas como TRANCO.
«TRANCO es una respetada lista de código abierto del millón de dominios principales, y Cloudflare Radar es uno de sus cinco proveedores de datos», continuó. «Por lo tanto, puede haber graves efectos en cadena cuando un dominio malicioso aparece entre los 10/100/1000/millón principales de Cloudflare. Para muchas personas y sistemas, los 10 y 100 principales se consideran ingenuamente seguros y confiables, a pesar de que las listas de los N principales definidas algorítmicamente siempre serán algo toscas».
Durante la semana pasada, Cloudflare comenzó a redactar partes de los dominios maliciosos de Aisuru de su lista de Dominios principales, dejando solo visible el sufijo de su dominio. En algún momento de las últimas 24 horas, Cloudflare parece haber comenzado a ocultar completamente los dominios maliciosos de Aisuru de la versión web de esa lista. Sin embargo, al descargar una hoja de cálculo de los 200 dominios principales actuales de Cloudflare Radar, se muestra un dominio de Aisuru todavía en la parte superior.
Según el sitio web de Cloudflare, la mayoría de las consultas de DNS a los principales dominios de Aisuru (casi el 52 por ciento) se originaron en los Estados Unidos. Esto sigue con mis informes de principios de octubreque descubrió que Aisuru estaba obteniendo la mayor parte de su potencia de fuego de dispositivos IoT alojados en proveedores de Internet de EE. UU. como AT&T, Comcast y Verizon.
Los expertos que rastrean a Aisuru dicen que la botnet depende de más de cien servidores de control, y que por el momento al menos la mayoría de esos dominios están registrados en el dominio de nivel superior (TLD) .su. Dot-su es el TLD asignado a la antigua Unión Soviética (.su’s página de wikipedia dice que el TLD fue creado apenas 15 meses antes de la caída del muro de Berlín).
A Publicación del blog de Cloudflare del 27 de octubre descubrió que .su tenía la «magnitud DNS» más alta de cualquier TLD, en referencia a una métrica que estima la popularidad de un TLD en función de la cantidad de redes únicas que consultan el solucionador 1.1.1.1 de Cloudflare. El informe concluyó que los principales nombres de host .su estaban asociados con un popular juego de construcción de mundos en línea, y que más de la mitad de las consultas para ese TLD provinieron de Estados Unidos, Brasil y Alemania (vale la pena señalar que los servidores para el juego de construcción de mundos minecraft eran algunos de los objetivos más frecuentes de Aisuru).
Una forma sencilla y sencilla de detectar la actividad del bot Aisuru en una red puede ser establecer una alerta en cualquier sistema que intente contactar con dominios que terminen en .su. Con frecuencia se abusa de este TLD para delitos cibernéticos y por parte de foros y servicios de delitos cibernéticos, y es poco probable que bloquear el acceso a él por completo genere quejas legítimas.
La botnet Aisuru y su impacto en la clasificación de dominios de Cloudflare
Durante la semana pasada, la botnet Aisuru ha estado causando problemas en la clasificación de dominios de Cloudflare, una empresa que proporciona servicios de seguridad y solución de DNS. La botnet, que comprende cientos de miles de dispositivos de Internet de las cosas (IoT) pirateados, ha estado generando un gran volumen de solicitudes de DNS hacia el servidor de Cloudflare, lo que ha llevado a que los dominios asociados con Aisuru ocupen los primeros puestos en la clasificación de dominios de Cloudflare.
¿Qué es la botnet Aisuru?
Aisuru es una botnet de rápido crecimiento que se compone de dispositivos IoT pirateados, como enrutadores de Internet y cámaras de seguridad mal protegidos. La botnet ha demostrado ser capaz de lanzar ataques de denegación de servicio distribuido (DDoS) de gran escala, alcanzando velocidades de hasta 30 terabits de datos por segundo. La botnet depende de más de cien servidores de control, y la mayoría de estos dominios están registrados en el dominio de nivel superior (TLD) .su.
El impacto en la clasificación de dominios de Cloudflare
La clasificación de dominios de Cloudflare se basa en el volumen de solicitudes de DNS que se realizan hacia su servidor 1.1.1.1. Sin embargo, la botnet Aisuru ha estado generando un gran volumen de solicitudes de DNS, lo que ha llevado a que los dominios asociados con Aisuru ocupen los primeros puestos en la clasificación. Esto ha causado preocupaciones de seguridad, confusión de marca y privacidad, ya que los dominios de Aisuru imitan los de los principales proveedores de nube, como Amazon, Apple, Google y Microsoft.
La respuesta de Cloudflare
Cloudflare ha respondido a esta situación redactando parcialmente los dominios maliciosos de Aisuru de su lista de sitios web principales y agregando una advertencia en la parte superior de sus clasificaciones. El director ejecutivo de Cloudflare, Príncipe Mateo, ha dicho que el sistema de clasificación de dominios de la empresa es simplista y que simplemente mide el volumen de solicitudes de DNS. Sin embargo, ha agregado que Cloudflare está trabajando en mejorar su sistema de clasificación para que sea más inteligente y pueda distinguir entre el tráfico legítimo y el tráfico malicioso.
La importancia de separar los dominios maliciosos
Alex Groenlandia, director ejecutivo de la empresa de seguridad y antiphishing Epi, ha dicho que es importante separar completamente los dominios maliciosos de la lista de dominios de Cloudflare. Esto se debe a que la clasificación de dominios de Cloudflare se utiliza para determinar la confianza y la seguridad de los dominios, y que la presencia de dominios maliciosos en la lista puede tener efectos en cadena graves. Groenlandia ha sugerido que Cloudflare debería tener dos clasificaciones: una que refleje el uso humano real y otra que refleje el volumen de DNS sin procesar.
La conexión con el TLD .su
La botnet Aisuru ha estado utilizando el TLD .su para registrar sus dominios de control. El TLD .su es el dominio de nivel superior asignado a la antigua Unión Soviética, y ha sido utilizado por ciberdelincuentes para registrar dominios maliciosos. Una forma sencilla de detectar la actividad del bot Aisuru en una red es establecer una alerta en cualquier sistema que intente contactar con dominios que terminen en .su.
Conclusión
La botnet Aisuru ha estado causando problemas en la clasificación de dominios de Cloudflare, y ha destacado la importancia de mejorar la seguridad y la confianza en la clasificación de dominios. Cloudflare ha respondido a esta situación redactando parcialmente los dominios maliciosos de Aisuru y agregando una advertencia en la parte superior de sus clasificaciones. Sin embargo, es importante que Cloudflare y otras empresas de seguridad trabajen en mejorar sus sistemas de clasificación para que sean más inteligentes y puedan distinguir entre el tráfico legítimo y el tráfico malicioso. La separación de los dominios maliciosos de la lista de dominios es crucial para mantener la confianza y la seguridad en la clasificación de dominios.