Les cybermenaces basées sur les botnets peer-to-peer (P2P) ont considérablement augmenté ces dernières années. Récemment, Guardicore a publié un rapport sur un botnet P2P sophistiqué récemment découvert.
Le botnet FritzFrog
Les chercheurs révèlent des détails sur le botnet P2P unique qui supprime les portes dérobées et les cryptomineurs sur les systèmes ciblés.
- Actif depuis janvier 2020, FritzFrog est une menace modulaire, multithread et sans fichier basée sur Golang; il ne laisse aucune trace sur le disque de la machine infectée.
- Jusqu'à présent, plus de 20 échantillons de logiciels malveillants ont été détectés dans la nature. Le malware a tenté de forcer brutalement un minimum de 500 serveurs SSH appartenant aux acteurs gouvernementaux, éducatifs, financiers, médicaux et télécoms du monde entier.
- Le botnet est un réseau décentralisé qui lui permet d'éviter d'avoir un point de défaillance, et principalement des mines pour la crypto-monnaie Monero à l'aide de XMRig miner.
Les chercheurs ont également trouvé une certaine ressemblance entre FritzFrog et Rakos, un botnet P2P déjà vu, découvert pour la première fois en décembre 2016.
Interception du botnet FritzFrog
Guardicore Labs a développé un programme client écrit en Golang qui est capable d'intercepter la communication P2P de FritzFrog, ainsi que de se joindre en tant que pair du réseau. De plus, les attaques FritzFrog peuvent être évitées en utilisant des mots de passe forts et une authentification par clé publique. Les utilisateurs concernés peuvent supprimer la clé publique de FritzFrog du fichier authorized_keys et également modifier ou désactiver leur port SSH (si le service n'est pas utilisé) pour repousser les attaques FritzFrog.
Sources : Guardicore, Cyware
