Медицинские центры, банки, телекоммуникационные компании, правительственные учреждения и образовательные учреждения попали под прицел вредоносной программы, известной как FritzFrog, предназначенной для криптоджекинга.
Согласно опубликованным вчера результатам исследования фирмы по кибербезопасности Guardicore Labs, вредоносный ботнет Monero, известный как FritzFrog, был развернут на десятках миллионах IP-адресов известных учреждений.
Источник: guardicore.com
FritzFrog — это сложный одноранговый (P2P) ботнет, который активно взламывает серверы SSH по всему миру.
Благодаря своей децентрализованной инфраструктуре он распределяет контроль между всеми своими узлами. В сети FritzFrog без единой точки отказа одноранговые узлы постоянно взаимодействуют друг с другом, чтобы поддерживать сеть в рабочем состоянии, отказоустойчивости и актуальности. P2P-связь осуществляется по зашифрованному каналу с использованием AES для симметричного шифрования и протокола Диффи-Хеллмана для обмена ключами.
FritzFrog располагает уникальными свойствами, которые отличают его от других одноранговых ботнетов: он не содержит файлов, полезные данные и вычисления он собирает хранит в памяти; программа ботнета, написанная на языке Golang, полностью изменчива и не оставляет следов на диске; создавая открытый канал к машинам-жертвам, FritzFrog обеспечивает мошенникам постоянный доступ к ним; ботнет очень агрессивен, но имеет высокую эффективность, благодаря равномерному распределению целей в сети.
Как объясняют исследователи Guardicore Labs, после взлома серверов в сети FritzFrog активируется процесс под названием «libexec» для запуска XMRig, вредоносной программы, которая использует вычислительные мощности машины-жертвы для майнинга Monero.
Исследователи ботнета FritzFrog полагают, что уникальная вредоносная программа для майнинга криптовалюты Monero была написана с нуля высокопрофессиональными программистами, поскольку использует глубокие знания в работе одноранговой (P2P) сети, и спрятав ней соединения, усложнила процесс отслеживания ботнета.
Как свидетельствует отчет Guardicore, ботнет FritzFrog, который был обнаружен в январе 2020 года, активно функционирует, и на данный момент FritzFrog взломал «более 500 SSH-серверов, включая серверы известных высших учебных заведений в США и Европе и железнодорожной компании».