Обнаружен новый ботнет FritzFrog, атакующий правительственные серверы
Децентрализованный ботнет FritzFrog атакует правительственные и коммерческие организации с начала 2020 года, заявили аналитики из компании Guardicore Labs 19 августа на своем сайте.
Специалисты по информационной безопасности обнаружили, что ботнет совершил 13 тыс. атак и уже взломал не менее 500 серверов. В том числе были заражены «известные университеты в США и Европе, а также железнодорожная компания».
Исследователи обнаружили, что, заразив компьютер, FritzFrog запускает майнинг криптовалюты Monero. При этом вирус не записывает себя на диск, а работает из оперативной памяти, что делает его труднозаметным.
Ботнет децентрализован, то есть зараженные компьютеры не имеют связи с центром, а обменивается информацией только с ограниченным количеством взломанных соседей.
Аналитики отмечают, что протокол передачи данных между экземплярами вируса не основан на известных протоколах, что свидетельствует о высоком профессионализме создателей ботнета.
Вирус ищет новые жертвы, прослушивая открытые SSH-порты. После обнаружения потенциальной жертвы вирус пробует подобрать пароль доступа к SSH. Если пароль удается подобрать, вирус запускает свою копию на взломанном устройстве.
Чтобы не стать жертвой атаки, специалисты советуют установить сложный пароль на SSH и использовать аутентификацию с публичным ключом или вообще отключить доступ по SSH, если он не нужен для работы компьютера.