En avril de cette année, les chercheurs de 360 Netlab ont signalé un nouveau botnet DdoS appelé Fodcha. Ce botnet comporte plus de 10 000 robots actifs quotidiennement et piège plus de 100 victimes DDoS par jour. On lui attribue le nom de Fodcha en raison de son nom de domaine et de l’algorithme de chiffrement ChaCha utilisé.
Le laboratoire de recherche sur la sécurité du réseau de Qihoo 360 a publié un rapport la semaine dernière. Il a déclaré à propos de Fodcha :
L’acteur menaçant derrière le botnet de déni (DDoS) Fodcha a refait surface avec de nouvelles capacités. Cela inclut des modifications de son protocole de communication et la possibilité d’extorquer des paiements en Monero en échange de l’arrêt de l’attaque contre une cible.
Le malware Fodcha réapparaît plus virulent
Fodcha apparaît pour la première fois au début du mois d’avril. Il se propage à travers des vulnérabilités connues dans les appareils Android et IoT ainsi que des mots de passe Telnet ou SSH faibles.
En réponse au rapport, l’auteur a semblé concéder sa défaite en laissant la phrase:
Netlab pls, laissez-moi tranquille, je me rends !
Bien entendu, la reddition était fausse ! Selon un nouveau rapport de 360 Netlab , une version mise à jour et plus puissante a été publiée.
La société de cybersécurité a déclaré que Fodcha est devenu un botnet à grande échelle avec plus de 60 000 nœuds actifs. Les 40 domaines de commande et de contrôle peuvent générer facilement plus de 1 Tera bytes par seconde (Tbps de trafic).
Le pic d’activité aurait eu lieu le 11 octobre 2022, lorsque le logiciel malveillant a ciblé 1 396 appareils en une seule journée.
Principaux pays visés par le Fodcha :
Les principaux pays sélectionnés par le botnet depuis fin juin 2022 comprennent :
- La Chine,
- Les États-Unis,
- Singapour,
- Le Japon,
- La Russie,
- L’Allemagne,
- La France,
- Le Royaume-Uni,
- Le Canada
- Les Pays-Bas.
Les principales cibles vont des organisations de soins de santé et des forces de l’ordre à un fournisseur de services cloud bien connu. Celui-ci a essuyé une attaque avec un trafic dépassant 1 Tbps.
Le nombre d’attaques quotidiennes a également augmenté. Date fatidique, le 11 octobre, avec 1 396 cibles en une seule journée.
Propagation des attaques de Fodcha
La nouvelle version ajoute de la redondance, en utilisant à la fois le cryptage XXTEA et ChaCha20.
Ce mécanisme de redondance peut non seulement empêcher la prise de contrôle de C2, mais a également une bonne robustesse et peut maintenir la stabilité de son réseau maître », ont écrit les chercheurs (via Google Translate).
Alors que les attaques ciblent principalement les victimes en Chine, elles se propagent dans le monde entier. Selon le rapport, 78,2 % des cibles sont en Chine, suivies de 10 % aux États-Unis, 2,1 % à Singapour, 1,6 % au Japon, 1,4 % en Russie, 1 % en France et 1 % en Allemagne.
Le 21 septembre, ont déclaré les chercheurs, un fournisseur de services cloud de premier plan les a contactés au sujet d’une attaque avec un trafic dépassant 1 Tbps. Ils ont conclu que l’agresseur était Fodcha.
Exiger une rançon à Monero
Notamment, le code inclut désormais cette demande:
ENVOYER 10 XMR À [ADRESSE] OU NOUS FERMERONS VOTRE ENTREPRISE.
Comme l’ont dit les chercheurs de 360 Netlab, les opérateurs derrière Fodcha semblent poursuivre le modèle commercial de l’extorsion.
Si tel est le cas, leur choix de XMR (Monero) suit une tendance.
Dans un récent rapport sur les cybercriminels, les chercheurs de Trend Micro ont écrit a ce sujet. Les techniques de liaison d’adresses peuvent retracer les adresses Bitcoin jusqu’à leurs propriétaires. C’est pourquoi, les cybercriminels « ont commencé à se tourner vers des pièces basées sur l’anonymat telles que Monero, beaucoup plus difficiles à tracer. »
