Hace dos años, los investigadores se toparon con una de las redes de bots más intrigantes de Internet: una red de 500 servidores no descubierta anteriormente, muchos en universidades y empresas conocidas de todo el mundo, que era impermeable a los métodos normales de eliminación. Después de pasar desapercibidos durante 16 meses, dijeron esos investigadores, la botnet conocida como FritzFrog está de regreso con nuevas capacidades y una base más grande de máquinas infectadas.

Servidores SSH, cuidado

FritzFrog apunta a casi cualquier cosa con un SSH, o cubierta segura, servidor (instancias en la nube, servidores de centros de datos, enrutadores y similares) e instala una carga útil inusualmente avanzada que se escribió desde cero. Cuando los investigadores de la empresa de seguridad Guardicore Labs (ahora Akamai Labs) lo reportó a mediados de 2020lo llamaron un botnet de “próxima generación” debido a su conjunto completo de capacidades y diseño bien diseñado.

Era una arquitectura descentralizada de igual a igual que distribuía la administración entre muchos nodos infectados en lugar de un servidor central, lo que dificultaba su detección o eliminación mediante métodos tradicionales. Algunas de sus características avanzadas incluyen:

• Cargas útiles en memoria que nunca tocan los discos de los servidores infectados
• Al menos 20 versiones del software binario desde enero
• Un único foco en infectar cubierta segura servidores que los administradores de red usan para administrar máquinas
• La capacidad de puertas traseras para servidores infectados
• Una lista de combinaciones de credenciales de inicio de sesión utilizadas para detectar contraseñas de inicio de sesión débiles que es más “extensa” que las de las botnets vistas anteriormente

Para agosto de 2020, FritzFrog había acorralado alrededor de 500 máquinas de organizaciones conocidas en su red. Tras el informe, el P2P redujo el número de nuevas infecciones. Desde diciembre pasado, los investigadores de Akamai informado el juevesla tasa de infección de la botnet se multiplicó por diez y ahora se ha disparado a más de 1500 máquinas.

El software avanzado se actualiza diariamente para corregir errores y en los últimos meses ha implementado nuevas funciones y métodos de infección más agresivos. Entre las organizaciones que ha infectado en su forma más reciente se encuentran una red de canales de televisión europea, un fabricante ruso de equipos de atención médica, varias universidades en el este de Asia y otras en atención médica, educación superior y gobierno.

FritzFrog se propaga escaneando Internet en busca de servidores SSH y, cuando encuentra uno, intenta iniciar sesión utilizando una lista de credenciales. Cuando tiene éxito, el software de botnet instala un malware patentado que lo convierte en un dron en una red P2P sin cabeza y en expansión. Cada servidor escucha constantemente las conexiones en el puerto 1234 mientras escanea simultáneamente miles de direcciones IP en los puertos 22 y 2222. Cuando encuentra otros servidores infectados, los servidores intercambian datos entre sí para asegurarse de que todos estén ejecutando la última versión de malware y tengan la base de datos más actualizada de objetivos y máquinas infectadas.

Para evadir los firewalls y el software de protección de puntos finales, FritzFrog envía comandos a través de SSH a un cliente netcat en la máquina infectada. Netcat luego se conecta a un “servidor de malware” alojado en una máquina infectada en lugar de un servidor central.