Botnet FritzFrog P2P já violou +500 servidores SSH

O botnet FritzFrog

Os pesquisadores revelam detalhes sobre o botnet P2P exclusivo que instala backdoors e criptominadores em sistemas direcionados.

• Ativo desde janeiro de 2020, FritzFrog é uma ameaça modular baseada em Golang, multi-threaded e sem arquivo; não deixa rastros no disco da máquina infectada.
• Até agora, mais de 20 amostras de malware foram detectadas à solta. O malware tentou usar a força bruta de no mínimo 500 servidores SSH pertencentes a atores governamentais, educacionais, financeiros, médicos e de telecomunicações em todo o mundo.
• O botnet é descentralizado, o que o ajuda a evitar um ponto de falha e principalmente minas para criptomoeda Monero usando o minerador XMRig.

Os pesquisadores também encontraram alguma semelhança entre FritzFrog e Rakos , um botnet P2P previamente visto, descoberto pela primeira vez em dezembro de 2016.

Ataque de malware P2P recente

Tendências de ataque recentes mostram que os agentes de ameaças aprimoraram suas táticas para aproveitar botnets para ataques DDoS e outros comportamentos maliciosos.

• Em junho de 2020, o malware Mozi foi observado visando dispositivos IoT, predominantemente roteadores e DVRs, em muitas de suas famílias contribuintes, incluindo Mirai, Gafgyt e IoT Reaper.
• Essas famílias de malware foram reunidas para formar um botnet P2P capaz de ataques DDoS, exfiltração de dados e execução de comando ou carga útil.
• Em abril de 2020, os pesquisadores identificaram o botnet de mineração de moedas DDG , que se acredita ser o primeiro botnet de criptominação baseado em P2P do mundo.

Interceptação de malware

A Guardicore Labs desenvolveu um programa cliente escrito em Golang que é capaz de interceptar a comunicação P2P de FritzFrog, bem como se conectar como um par de rede. Além disso, os ataques FritzFrog podem ser evitados usando senhas fortes e autenticação de chave pública. Os usuários afetados podem remover a chave pública do FritzFrog do arquivo authorized_keys e também alterar ou desabilitar sua porta SSH (se o serviço não estiver em uso) para evitar ataques do FritzFrog.

Fonte: https://cyware.com/news/fritzfrog-p2p-botnet-already-breached-500-ssh-servers-05e7fe5e