FritzFrog, una botnet de la nueva era descubierta en 2020, ahora está de regreso con técnicas innovadoras para explotar servidores SSH abiertos y usarlos para varios propósitos.
Se ve que el malware de botnet agrega capacidades y más víctimas a la lista, ¡y los investigadores de Akamai notaron un crecimiento de 10 veces en el último mes! Si bien ahora se usa para la minería de criptomonedas, existen capacidades para la filtración de datos y la inyección de ransomware actualmente inactivas.
Una botnet de la nueva era en Wild
Tras estar inactivo durante un par de años, FritzFrog ha vuelto con fuerza. Se ve que la red de bots alcanza numerosos objetivos en un lapso de semanas, después de emerger con nuevas capacidades. Como señalaron los investigadores de Akamaise dice que FritzFrog es una botnet de la nueva era debido a sus novedosas formas de operaciones.
La botnet utiliza el método P2P para crecer y comunicarse, por lo que no necesita un servidor de administración centralizado. Además, se dice que utiliza el proxy Tor para las conexiones SSH salientes, lo que oculta la estructura de la red. Además, se dice que los creadores lo desarrollan activamente, ya que agrega nuevas funciones regularmente y corrige todos los errores conocidos a diario.
Se dice que FritzFrog apunta a servidores SSH abiertos, a través de ataques de fuerza bruta. Todos los dispositivos que utilicen el servidor SSH infectado también se verán comprometidos. La botnet también tiene un sistema de distribución de nodos dedicado para garantizar que se asigne la misma cantidad de objetivos a cada nodo, para equilibrar la botnet general.
Además, obtuvo un sistema de filtrado para omitir cualquier dispositivo de baja potencia como las placas Raspberry Pi, e incluso se preparó para agregar soporte para visitar sitios de WordPress también. Si bien actualmente se usa para extraer criptomonedas, se ve que FritzFrog tiene instalaciones para inyectar malware ransomware y también filtrar datos de los sistemas infectados.
Como se considera una amenaza creciente, Akamai ha enumerado los siguientes consejos de defensa para proteger los sistemas de uno;
- Habilite la auditoría de inicio de sesión del sistema con alertas
- Supervise el archivo authorized_hosts en Linux
- Configurar explícitamente la lista de permisos de inicio de sesión SSH
- Deshabilitar el acceso SSH raíz
- Habilite la protección de DNS basada en la nube con amenazas y aplicaciones comerciales no relacionadas, como la minería de monedas configuradas para bloquear
