La botnet FritzFrog ha reaparecido con una nueva campaña P2P, mostrando un crecimiento de 10 veces en solo un mes.
FritzFrog es una botnet peer-to-peer descubierta en enero de 2020. Durante un período de ocho meses, la botnet logró atacar al menos 500 servidores SSH gubernamentales y empresariales.
La botnet P2P, escrita en el lenguaje de programación Golang, es de naturaleza descentralizada e intentará forzar servidores, instancias en la nube y otros dispositivos, incluidos los enrutadores, que tienen puntos de entrada expuestos en Internet.
El jueves, los investigadores de seguridad cibernética de Akamai Threat Labs dijeron que, a pesar de haberse quedado en silencio después de su anterior ola de ataques, desde diciembre, la red de bots ha reaparecido con un crecimiento exponencial.
«FritzFrog se propaga a través de SSH», dicen los investigadores. «Una vez que encuentra las credenciales de un servidor utilizando una técnica de fuerza bruta simple (pero agresiva), establece una sesión SSH con la nueva víctima y suelta el ejecutable del malware en el host. El malware luego comienza a escuchar y esperar comandos».
En total, se han detectado 24.000 ataques hasta la fecha. Y se han infectado 1.500 hosts, la mayoría de los cuales se encuentran en China. La botnet se utiliza para extraer criptomonedas.
Los sectores de salud, educación y gobierno están todos en la lista de objetivos. Gracias a la nueva funcionalidad y al uso de una red proxy, el malware también se está preparando para afinar los sitios web que ejecutan el sistema de administración de contenido (CMS) de WordPress.
Un canal de televisión en Europa, un fabricante ruso de equipos de atención médica y universidades en Asia se han visto comprometidos.
Akamai considera que FritzFrog es una botnet de «próxima generación» debido a una serie de características clave. Esto incluye ciclos constantes de actualización y actualización, un extenso diccionario utilizado en ataques de fuerza bruta y su arquitectura descentralizada, que se describe como «propietaria». En otras palabras, la botnet no depende de otros protocolos P2P para funcionar.
El FritzFrog más reciente se actualiza a diario, a veces más de una vez al día. Junto con las correcciones de errores, los operadores han incluido la nueva función de WordPress para agregar sitios web basados en este CMS a una lista de objetivos.
Sin embargo, en el momento de escribir este artículo, las listas están vacías, lo que sugiere que se trata de una función de ataque en proceso de desarrollo.
Akamai no está seguro del origen de la botnet, pero hay algunos indicadores de que los operadores tienen su sede en China o se hacen pasar por operadores en el país. Una biblioteca de transferencia de archivos recién agregada, por ejemplo, se vincula a un repositorio de GitHub propiedad de un usuario en Shanghái.
Además, la actividad de minería de criptomonedas de la red de bots se vincula a las direcciones de billetera que también utiliza la red de bots Mozi, cuyos operadores fueron arrestados en China.
La firma de ciberseguridad ha proporcionado una herramienta de detección FritzFrog en GitHub.
Cobertura anterior y relacionada
¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0
