Fodcha Botnet

Una nueva red de bots llamada Fodcha está creciendo rápidamente al incorporar dispositivos vulnerables a su ejército de bots. Los operadores de la botnet la han utilizado para lanzar ataques DDoS (Distributed Denial-of-Service) contra más de cien víctimas cada día. Las actividades de la amenaza fueron identificadas por los investigadores del Laboratorio de Investigación de Seguridad de Redes de Qihoo 360 (360 Netlab) y, según sus estimaciones, Fodcha se ha extendido a más de 62 000 dispositivos durante el período comprendido entre el 29 de marzo y el 10 de abril de 2022.

Fodcha se basa en vulnerabilidades de día N, así como en tácticas de fuerza bruta para comprometer sus dispositivos específicos, que incluyen enrutadores, DVR y servidores. Más concretamente, algunos de los modelos a los que apunta la botnet son Realtek Jungle SDK, MVPower DVR, LILIN DVR, TOTOLINK, routers ZHONE y otros. Las arquitecturas objetivo incluyen MIPS, MPSL, ARM, x86 y más. Para sus intentos de fuerza bruta, Fodcha utiliza una herramienta de craqueo conocida como Crazyfia.

Cabe señalar que los operadores de la red de bots Fodcha se vieron obligados a cambiar sus servidores de comando y control (C2, C&C) después de que su proveedor de nube inicial los eliminara. La segunda infraestructura opera desde la neveraxperts[.]cc y está asignada a más de 12 IP. Además, se distribuye entre varios países del mundo, incluidos Corea, Japón, India y EE. UU. Para evitar un resultado similar al de la primera iteración, los actores de amenazas están utilizando más proveedores de nube como Amazon, DigitalOCean, Linode, DediPath y más.