Sofisticada botnet amenaza a los servidores SSH en todo el mundo

FritzFrog est谩 estructurada como una red peer-to-peer (P2P) sin un servidor central de comando y control, lo que dificulta su desactivaci贸n. La botnet ya ha logrado infectar alrededor de 500 m谩quinas en todo el mundo.

Denominada por los investigadores de Guardicore como FritzFrog, la red utiliza una t茅cnica de malware conocida como “sin archivos”; esto significa que no instala nada en la m谩quina de la v铆ctima y no deja rastro en el disco duro, lo que dificulta mucho su detecci贸n por parte del software antivirus tradicional.

De igual manera, la botnet tambi茅n tiene una estructura peer-to-peer (P2P), eliminando el uso de un centro de control y comando. En otras palabras, no existe una “m谩quina maestra” que env铆e instrucciones a las PC麓s infectadas, haciendo que la tarea de encontrar al due帽o de FritzFrog sea casi imposible.

Seg煤n Ophir Harpaz, investigador de Guardicore, encontr贸 esta botnet especializada en infectar servidores SSH, en enero de este a帽o. 篓Fritzfrog ya ha logrado infectar alrededor de 500 m谩quinas en todo el mundo, incluidas universidades reconocidas en Estados Unidos y Europa, as铆 como una empresa ferroviaria”. A煤n no est谩 claro c贸mo se produce la infecci贸n, pero todo indica que se lleva a cabo por fuerza bruta en servidores cuyas contrase帽as son demasiado d茅biles y que no cuentan con certificado criptogr谩fico.

FritzFrog aprovecha el hecho de que muchas soluciones de seguridad de red refuerzan el tr谩fico solo mediante el puerto y el protocolo. La recomendaci贸n de Guardicore es utilizar reglas de segmentaci贸n basadas en procesos las cuales pueden prevenir f谩cilmente tales amenazas.

Las contrase帽as d茅biles son el habilitador inmediato de los ataques de FritzFrog. Recomendamos elegir contrase帽as seguras y usar autenticaci贸n de clave p煤blica, que es mucho m谩s seguro. Los enrutadores y dispositivos de IoT a menudo exponen SSH y, por lo tanto, son vulnerables a FritzFrog; considere cambiar su puerto SSH o deshabilitar completamente el acceso SSH a ellos si el servicio no est谩 en uso.

Guardicore ha desarrollado una lista de indicadores de que un servidor puede estar comprometido, as铆 como un script de detecci贸n de malware, disponible en su repositorio en Github.

Ilustraci贸n: Guardicore (distribuci贸n geogr谩fica de FritzFrog

Acerca de Guardicore

驴Desea suscribirse a nuestro newsletter?

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.