Ботнет Fodcha вернулся: вымогает криптовалюту за прекращение DDoS-атак

Операторы DDoS-ботнета Fodcha снова заявили о себе — на этот раз с обновлённым арсеналом. Исследователи из Network Security Research Lab компании Qihoo 360 зафиксировали изменения в протоколе связи ботнета и появление новой функции: злоумышленники теперь требуют выкуп в криптовалюте за прекращение атаки на цель.

От Android-эксплойтов до миллиона запросов в секунду

Fodcha впервые попал в поле зрения специалистов ещё в апреле 2022 года. Тогда вредонос распространялся через известные уязвимости в устройствах на Android и IoT-гаджетах, а также через слабые пароли Telnet и SSH. С тех пор ботнет заметно вырос: по данным Qihoo 360, сейчас он объединяет более 60 000 активных узлов и опирается на 40 доменов управления (C2), что позволяет «без труда генерировать трафик свыше 1 Тбит/с».

Пик активности пришёлся на 11 октября 2022 года — в этот день малварь атаковала 1396 устройств за сутки. С конца июня 2022 года в списке наиболее часто атакуемых стран значатся Китай, США, Сингапур, Япония, Россия, Германия, Франция, Великобритания, Канада и Нидерланды. Среди заметных жертв — организации здравоохранения, правоохранительные структуры и один известный облачный провайдер, на которого обрушился поток трафика мощностью более 1 Тбит/с.

Шифрование и вымогательство

Новая версия Fodcha обзавелась функциями скрытности: связь с сервером управления теперь шифруется, а в код встроены требования выкупа. По словам исследователей Qihoo 360, «Fodcha повторно использует значительную часть атакующего кода Mirai и поддерживает в общей сложности 17 методов атаки».

CLDAP как усилитель атак

Одновременно специалисты Lumen Black Lotus Labs обратили внимание на растущее злоупотребление протоколом CLDAP (Connectionless Lightweight Directory Access Protocol) для усиления масштаба DDoS-атак. Исследователи выявили 12 142 открытых CLDAP-отражателя, большинство из которых расположены в США и Бразилии, а также, в меньшей степени, в Германии, Индии и Мексике.

В одном из случаев CLDAP-сервис, связанный с неназванным региональным ритейлером в Северной Америке, более девяти месяцев направлял «проблемные объёмы трафика» на широкий круг целей, генерируя до 7,8 Гбит/с CLDAP-трафика.

Рекомендации от CISA

Публикация исследований Black Lotus Labs совпала с выходом совместного предупреждения правительственных агентств США, призванного помочь организациям снизить вероятность и последствия DDoS-атак. Компаниям рекомендуется определить критически важные активы, разобраться, как пользователи подключаются к корпоративным сетям, подключить сервис защиты от DDoS и подготовить планы реагирования и обеспечения непрерывности бизнеса.

«IoT-устройства подключены к интернету и часто используют пароли по умолчанию, а также не обладают надёжной защитой, что делает их уязвимыми для компрометации и эксплуатации», — заявили в Агентстве по кибербезопасности и защите инфраструктуры США (CISA). «Поскольку заражение IoT-устройств зачастую остаётся незамеченным пользователями, злоумышленник может легко собрать сотни тысяч таких устройств в мощный ботнет, способный проводить высокообъёмные атаки».

Источник: The Hacker News.