Met behulp van nieuwe monitoring-algoritmes komt het Infoblox Threat Intel-team dagelijks tienduizenden nieuwe domeinen op het spoor die eerder niet als malafide zijn aangemerkt. Verder onderzoek toont aan dat het gebruik van RDGA's de afgelopen jaren sterk is gegroeid en voor verschillende doeleinden wordt ingezet, van malware tot fraude.
Revolver Rabbit: een RDGA-actor met diepe zakken
Een van de meest opmerkelijke voorbeelden van RDGA-gebruik is Revolver Rabbit, een actor die meer dan 500.000 domeinen heeft geregistreerd, voor meer dan $1 miljoen aan registratiekosten.
De motivatie achter deze massaregistratie was maandenlang onduidelijk, totdat ontdekt werd dat Revolver Rabbit command-and-control- en namaakdomeinen aanmaakt voor de XLoader-malware (ook bekend als Formbook). Deze malware steelt gegevens en wordt doorgaans via phishingmails verspreid. Gezien de aanzienlijke investering in domeinregistratie moet deze malware nogal winstgevend zijn voor Revolver Rabbit. Het verbinden van de Revolver Rabbit RDGA aan een gevestigde malware na maanden van volgen benadrukt het belang van het begrijpen van RDGA's als een techniek binnen de toolbox van dreigingsactoren.
Het onderzoek toont aan dat RDGA's een grote en onderschatte dreiging vormen. Actoren kunnen hun spam-, malware- en fraudecampagnes eenvoudig opschalen, vaak zonder dat ze bang hoeven te zijn dat de securitybranche ze ontdekt. Bovendien maakt de automatisering van domeinregistratiediensten het voor cybercriminelen gemakkelijk om een RDGA te gebruiken. Infoblox wil met dit nieuwe onderzoek dan ook het bewustzijn vergroten over deze groeiende trend in malafide domeinregistraties.
Lees meer over RDGA's in dit Infoblox blog.
