Filas de robots al estilo de la década de 1950 operan estaciones de trabajo informáticas.

Hace dos años, los investigadores descubrieron una de las redes de bots más intrigantes de Internet: una red de 500 servidores no descubierta anteriormente, muchos en universidades y corporaciones conocidas de todo el mundo, que era inmune a los métodos normales de eliminación. Después de 16 meses de secreto, dijeron estos investigadores, la botnet conocida como FritzFrog está de regreso con nuevas capacidades y una base más grande de computadoras infectadas.

Servidor SSH, cuidado

FritzFrog apunta a casi cualquier cosa con un servidor SSH o Secure Shell (instancias en la nube, servidores de centros de datos, enrutadores y similares) e instala una carga útil inusualmente avanzada que se ha escrito desde cero. Cuando los investigadores de la empresa de seguridad Guardicore Labs (ahora Akamai Labs) lo informaron a mediados de 2020, lo denominaron «botnet de próxima generación» debido a sus ricas capacidades y diseño sofisticado.

Era una arquitectura descentralizada de igual a igual que distribuía la gestión entre muchos nodos infectados en lugar de un servidor central, lo que dificultaba su detección o cierre mediante métodos tradicionales. Algunas de sus propiedades avanzadas fueron:

  • Cargas útiles en memoria que nunca tocan los discos duros de los servidores infectados
  • Al menos 20 versiones del software binario desde enero
  • El único objetivo es infectar los servidores Secure Shell, que los administradores de red utilizan para administrar las computadoras.
  • La capacidad de abrir servidores infectados a través de una puerta trasera
  • Una lista de combinaciones de credenciales utilizadas para detectar contraseñas de inicio de sesión débiles que es «más extensa» que las encontradas en redes de bots observadas anteriormente

Para agosto de 2020, FritzFrog había integrado alrededor de 500 máquinas de organizaciones conocidas en su red. Según el informe, P2P ha cerrado el número de nuevas infecciones. A partir de diciembre pasado, los investigadores de Akamai informaron el jueves que la tasa de infección de la botnet se ha multiplicado por diez y ahora se ha disparado a más de 1500 computadoras.

akamai

El software avanzado se actualiza diariamente para corregir errores y ha implementado nuevas funciones y métodos de infección más agresivos en los últimos meses. Las organizaciones que ha infectado en su última encarnación incluyen una red de televisión europea, un fabricante ruso de dispositivos de salud, varias universidades en el este de Asia y otras en atención médica, educación superior y gobierno.

akamai

FritzFrog se propaga buscando en Internet servidores SSH y, cuando encuentra uno, intenta iniciar sesión con una lista de credenciales. Si tiene éxito, el software de botnet instala malware patentado, convirtiéndolo en un dron en una red P2P en expansión y sin sentido. Cada servidor escucha constantemente las conexiones en el puerto 1234 mientras escanea simultáneamente miles de direcciones IP en los puertos 22 y 2222. Si encuentra otros servidores infectados, los servidores intercambian datos entre sí para garantizar que todos estén ejecutando la última versión de malware y la base de datos más actualizada de objetivos y máquinas infectadas.

Para eludir los firewalls y el software de protección de puntos finales, FritzFrog reenvía comandos a través de SSH a un cliente Netcat en la computadora infectada. Netcat luego se conecta a un «servidor de malware» alojado en una computadora infectada, en lugar de un servidor central.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí