FritzFrog, ett nytt botnät som upptäcktes 2020, är nu tillbaka med innovativa tekniker för att utnyttja öppna SSH-servrar och använda dem för olika ändamål.
Botnet-skadlig programvara har sett lägga till funktioner och fler offer till listan, med Akamai-forskare som noterar en 10X-tillväxt under den senaste månaden! Även om det nu används för brytning av kryptovalutor, finns det möjligheter för dataläckage och injicering av ransomware som för närvarande är inaktiva.
A New Age Botnet in Wild
Efter att ha varit inaktiv i ett par år är FritzFrog nu tillbaka med råge. Botnätet har setts träffa många mål under en period av veckor, efter att ha fått nya funktioner. Som noterats av Akamai-forskarnasägs FritzFrog vara ett nytt botnät på grund av dess nya verksamhetsformer.
Botnätet använder P2P-metoden för att växa och kommunicera och behöver därför ingen centraliserad hanteringsserver. Det sägs också att den använder Tor-proxy för utgående SSH-anslutningar, vilket döljer nätverksstrukturen. Det sägs också vara aktivt utvecklat av tillverkarna, eftersom det lägger till nya funktioner regelbundet och korrigerar alla kända buggar dagligen!
FritzFrog sägs vara inriktad på öppna SSH-servrar genom brute-force-attacker. Alla enheter som därmed använder den infekterade SSH-servern kommer också att äventyras. Botnätet har också ett dedikerat noddistributionssystem för att säkerställa att lika många mål tilldelas varje nod, för att balansera det övergripande botnätet.
Det fick också ett filtreringssystem för att hoppa över alla lågeffektsenheter som Raspberry Pi-kort, och till och med förbereda sig på att lägga till stöd för att träffa WordPress-webbplatser också. Även om det för närvarande används för att bryta kryptovaluta, ses FritzFrog ha faciliteter för att injicera ransomware malware och även läcka data från de infekterade systemen.
Eftersom det ses som ett växande hot, har Akamai listat följande försvarstips för att skydda sina system;
- Aktivera systeminloggningsrevision med varning
- Övervaka filen authorized_hosts på Linux
- Konfigurera uttryckligen tillåt lista över SSH-inloggning
- Inaktivera root SSH-åtkomst
- Aktivera molnbaserat DNS-skydd med hot och orelaterade affärsapplikationer som myntbrytning inställd på att blockera