FritzFrog es una campaña de botnet peer-to-peer descubierta por Guardicore Labs (ahora Akamai Threat Labs) en agosto de 2020, y en ese entonces el equipo notó una caída en el número de incidentes de ataque. Sin embargo, a principios de diciembre de 2021, comenzaron a ver un aumento en los ataques de la red global de sensores de Guardicore Labs.
Esta botnet descentralizada se dirige a cualquier dispositivo que exponga un servidor SSH (instancias en la nube, servidores de centros de datos, enrutadores, etc.) y es capaz de ejecutar cualquier carga útil maliciosa en los nodos infectados. Asimismo su arquitectura de igual a igual y su código propietario demuestran un alto nivel de sofisticación.
Recientemente Frizfrog ha resurgido mostrando un crecimiento de 10 veces en su tasa de infección en un mes, comprometiendo principalmente los servidores de los sectores de salud, educación y gobierno. Asimismo 1500 hosts distintos han sido infectados desde la reaparición de la botnet, la mayoría de los cuales se encuentran en China.
Por otro lado, el malware Golang, que se está propagando, agrega una nueva funcionalidad a la botnet, incluido el uso de una red proxy y la orientación de los servidores de WordPress. Este malware no contiene ningún módulo capaz de descifrar o identificar objetivos de WordPress por lo que el equipo asume que el código es una preparación para nuevas versiones que serán capaces de comprometer esos objetivos y usarlos para fines distintos a la minería de criptomonedas, como fugas de información, ransomware, etc.
Esta reciente ronda de ataques brinda más evidencia sobre los orígenes de FritzFrog, e indica un posible vínculo con un actor que opera en China, o uno que se hace pasar por chino.
En este contexto Guardicore Labs (ahora Akamai Threat Labs) actualizó la herramienta de detección FritzFrog para manejar la versión más reciente del malware FritzFrog detection script. Asimismo ofrece las siguientes recomendaciones urgentes que ayudarán a los diferentes sectores a evitar cualquier ataque relacionado con la nueva versión de FritzFrog.
● Mantenga siempre los sistemas actualizados y parcheados
● Implemente un inicio de sesión sin contraseña mediante un sistema sólido de gestión y rotación de claves.
● Habilite la auditoría de inicio de sesión del sistema con alertas.
● Monitorear el archivo authorized_hosts en Linux.
● Configurar una lista de permitidos explícitos de inicio de sesión SSH.
● Deshabilitar el acceso SSH raíz.
● Habilite la protección de DNS basada en la nube de Akamai con amenazas y aplicaciones comerciales no relacionadas, como la minería de criptomonedas configuradas para bloquear.