La botnet Fodcha está cobrando impulso

No se trata solo de ransomware en la vida, también hay botnets. Un descubrimiento conjunto entre CNCERT y 360netlab ha levantado el velo sobre la botnet Fodcha, cuya actividad se ha disparado en los últimos días. Del 29 de marzo al 10 de abril de 2022, la cantidad de IP comprometidas superó las 62 000 con una cantidad promedio de bots activos por día que superó los 10 000. Según el estudio, más de 100 víctimas experimentan ataques por denegación de servicio de Fodcha. Originaria de China, esta botnet toma prestadas las redes de China Unicom (59,9 %) y China Telecom (39,4 %), habiéndose utilizado muy poco la de China Mobile (0,5 %). Señaló que el volumen de ataques DDoS alcanzó su punto máximo el pasado 1 de marzo con más de 130.000 comandos maliciosos registrados.

Fodcha se propaga principalmente a través de vulnerabilidades de n-day, es decir, para las que se han desarrollado parches que aún no se han aplicado pero los piratas informáticos aún no los han explotado, y contraseñas débiles de Telnet/SSH. “Observamos que una herramienta de craqueo de fuerza bruta que llamamos Crazyfia aparece en el mismo servidor de descarga de Fodcha. El autor de Fodcha utilizará los resultados del análisis de esta herramienta para instalar muestras de Fodcha en los dispositivos vulnerables”, explica 360netlab.

Una infraestructura de comando y control redundante

La botnet Fodcha ataca varios sistemas cuyas arquitecturas de procesador también son eclécticas: MIPS, MPSL, ARM, x86... La lista de principales vulnerabilidades incluye ADB Debug Server RCE (terminales Android), CVE-2021-22205 (directorios y proyectos GitLab), CVE-2021-35394 (interfaz de administración del servidor web Realtek Jungle SDK), ejecución de comando de shell no autenticado del servidor web JAWS (MVPower DVR), LILIN DVR RCE (LILIN DVR), TOTOLINK Routers Backdoor (TOTOLINK Routers) y ZHONE Router Web RCE (ZHONE Router) .

Cabe señalar, según los indicadores del estudio, que el operador malicioso detrás de esta botnet se vio obligado a cambiar sus servidores de comando y control a otra plataforma entre el 18 y el 20 de marzo: “El paso de la v1 a la v2 es porque la C2 Los servidores correspondientes a v1 fueron cerrados por su proveedor de nube, por lo que los operadores de Fodcha no tuvieron más remedio que relanzar v2 y actualizar C2.El nuevo C2 está asignado a más de una docena de direcciones IP y se distribuye en varios países, incluidos Estados Unidos, Corea , Japón e India, involucra a más proveedores de nube como Amazon, DediPath, DigitalOcean, Linode y muchos más”, dice 360netlab.