Estos son los dominios de nivel superior que más gustan a los actores de amenazas.

De más de mil opciones de dominio de nivel superior, los ciberdelincuentes y los actores de amenazas prefieren un pequeño grupo de 25, que representa el 90% de todos los sitios maliciosos.

Seis de los 10 principales de estos 25 dominios de nivel superior (TLD) son administrados por autoridades de países en desarrollo, que albergan una cantidad desproporcionadamente grande de sitios de riesgo en relación con sus poblaciones.

Estas estadísticas fueron reveladas en un análisis en profundidad por investigadores de Palo Alto Networks, quienes profundizaron en los TLD comúnmente utilizados por los actores de amenazas y por qué son elegidos.

Las categorías elegidas para el análisis son malware, phishing, comando y control (C2) y grayware (adware, "malware de broma", spyware).

Los peores casos

Utilizando datos recopilados el 7 de octubre de 2020, Palo Alto Networks analizó los dominios que fueron clasificados por su servicio de filtrado de URL avanzado y que cumplían con criterios específicos.

"Primero, solo estudiamos los dominios clasificados por el servicio de filtrado avanzado de URL y consideramos solo los dominios registrados (también llamados dominios raíz). Además, validamos si los dominios han existido en el último año comprobando los archivos de zona y el DNS pasivo y mediante la emisión de consultas DNS activas. No consideramos los dominios que clasificamos como aparcados, con contenido insuficiente o desconocido para nuestros cálculos ", explica la investigación de Palo Alto Networks Unit42.

"Además, cuando calculamos los puntajes de reputación, no consideramos los dominios colapsados ​​como maliciosos para las medidas preventivas. Finalmente, solo consideramos los TLD con al menos cien dominios, ya que los TLD más pequeños probablemente tengan políticas establecidas que limitan las entidades a las que se les permite registrarse. nombres de dominio. Esta publicación de blog se basa en datos recopilados el 7 de octubre de 2021 ".

Con estos datos, Palo Alto Networks creó la siguiente tabla de resumen para proporcionar una descripción general del uso malintencionado de los principales TLD para cada categoría y su distribución acumulativa (CD). Cuanto más alto sea el CD, más se utilizará ese TLD en particular para la categoría.

El dominio de nivel superior más popular es .com, que tiene una proporción promedio de dominios maliciosos. Los estafadores tienden a usarlo porque agrega legitimidad y generalmente mejora sus tasas de éxito.

Los peores infractores en la categoría de "distribución acumulativa" son .xyz, .icu, .ru, .cn, .uk y tk. Esto significa que la mayoría de las cosas malas que circulan en la web en términos de volumen provienen de estos dominios.

Los TLD que más distribuyen malware son .ga, .xyz, .cf ,, tk, .org y .ml.

Los actores de phishing prefieren usar dominios .net, con .pw, .top, .ga y .icu, seguidos de volúmenes sustanciales. Sin embargo, los investigadores encontraron que el phishing es una de las categorías distribuidas más uniformemente, con el 99% de los dominios repartidos en 92 TLD diferentes.

Grayware se distribuye a través de los dominios .org, .info, .co, .ru, .work, .net y .club, lo que indica el engaño detrás de esta categoría de software.

Finalmente, la infraestructura C2 generalmente se basa en .top, .gq, .ga, .ml, .cf, .info, .cn y .tk.

Palo Alto ha compilado la siguiente tabla en términos de la tasa de dominios maliciosos frente al total de registros de un TLD.

En la siguiente tabla, la puntuación MAD es la "mediana de la desviación absoluta", lo que significa que una puntuación más alta representa una cantidad inusualmente grande de registros de dominios maliciosos para ese TLD.

¿Por qué es todo esto importante?

El hecho de que los dominios de TLD para Tokelau, una pequeña isla en el Pacífico, se encuentren entre las diez primeras de todas las categorías maliciosas, significa que es probable que el registro relevante no esté siguiendo estrictas prácticas de revisión.

"Una de las historias más fascinantes en el mundo de los nombres de dominio es cómo .tk, el ccTLD de una pequeña isla del Pacífico llamada Tokelau, se ha convertido en uno de los TLD más poblados del mundo. Los registros de dominio contribuyeron a un punto un sexto de los Los ingresos de Tokelau ", explica el informe de Palo Alto Networks.

"Su TLD se ha vuelto popular al proporcionar registros de dominio gratuitos, donde la fuente de ingresos para el operador de TLD es la publicidad en lugar de las tarifas de registro de dominio. Desafortunadamente, su política de registro de dominio también invita al abuso. Spam y una gran cantidad de contenido sensible, como podemos observar en la tabla 1. "

Lo mismo ocurre con los dominios .pw y .ws, que están controlados por la República de Palau y Samoa Occidental.

Estos países ofrecen registros de dominio de bajo costo o incluso gratuitos para generar ingresos a partir de los anuncios publicados en los sitios.

Este modelo publicitario genera importantes ingresos por los registros de dominio, pero también abre la puerta a un abuso generalizado.

Esto, por supuesto, no significa que los grandes dominios de nivel superior como .net, .org y .xyz puedan permitirse el lujo de relajarse frente a registros abusivos. Por el contrario, las estadísticas muestran que los dominios populares de nivel superior son más responsables de eliminar registros maliciosos.

En muchos casos, los dominios legítimos en estos TLD más grandes están comprometidos por los actores de la amenaza, por lo que no se han registrado con intenciones maliciosas.

Otra razón por la que estos informes son útiles es que pueden ayudar a las soluciones de seguridad de Internet a fortalecer sus algoritmos de detección de dominios maliciosos.

Estas tasas se pueden utilizar como factores que se evalúan junto con otros elementos para generar una puntuación de riesgo total al determinar si el software de seguridad o las puertas de enlace deben bloquear una URL.