FritzFrog-Botnet verbreitet sich erneut stark

Armis_Logo

Der Peer-to-Peer-Golang-Botnet ist nach mehr als einem Jahr wieder aufgetaucht und hat insgesamt 1.500 Hosts infiziert. Kompromittiert wurden Server von Unternehmen aus dem Gesundheits-, Bildungs- und Regierungssektor. „Das dezentralisierte Botnet mit dem Namen FritzFrog zielt auf jedes Gerät ab, das einen SSH-Server offenlegt – Cloud-Instanzen, Rechenzentrumsserver, Router usw. – und ist in der Lage, jede beliebige bösartige Nutzlast auf den infizierten Knoten auszuführen“, heißt es im Bericht der Forscher von Akamai Threat Labs, die FritzFrog erstmals im August 2020 entdeckten. Akamai Threat Labs zufolge häufen sich die Angriffe nun seit Dezember 2021 erneut, wobei die Infektionsrate innerhalb eines Monats um das 10-fache gestiegen ist. Im Januar dieses Jahres erreichte die Infektionswelle mit 500 Vorfällen pro Tag ihren Höhepunkt.

Armis

Andy Norton, European Cyber Risk Officer bei Armis

„Dateilose Angriffe auf IoT-Geräte stellen in der Tat eine der neueren Bedrohungswellen für Unternehmen dar“, sagt Andy Norton, European Cyber Risk Officer bei Armis. „Aber unter den heutigen Stand der Technik fällt auch die Sicherung von Geräten, die keinen Sicherheitsagenten einsetzen können. Unternehmen können es sich nicht leisten, blinde Flecken in ihrem Asset-Bestand zu haben, nur weil die von ihnen verwendeten Geräte nicht durch typische IT-Sicherheitskontrollen geschützt werden können. Für diese Art von Bedrohung ist ein anderer Ansatz erforderlich, der allgemein als kollektive Intelligenz bezeichnet wird. Kollektive Intelligenz ist eine dynamische Analyse der Verhaltensaktivitäten eines Geräts aus der Perspektive der Varianz, Prävalenz und Signifikanz. Dies ermöglicht es Unternehmen zu erkennen, wenn eines ihrer Geräte beginnt, sich anders zu verhalten als zuvor, im Vergleich zu seinen genomischen Kollegen und während eines kritischen Zeitraums, in dem eine Schwachstelle oder ein Exploit aktiv im Umlauf war. Im Fall von FritzFrog würden Monero-Mining-Aktivitäten und neue Dienste auf einem Gerät sofort erkannt werden, sodass nahezu in Echtzeit reagiert werden kann.“

Akamai Threat Labs gibt an, dass es infizierte Rechner in einem europäischen Fernsehsender-Netzwerk, einem russischen Hersteller von Gesundheitsgeräten und mehreren Universitäten in Ostasien entdeckt hat. Eine große Zahl infizierter Geräte wurde in China gefunden.