Actus

Le botnet DDoS Fodcha atteint une puissance de 1 Tbps et injecte des rançons dans les paquets

Par hfrance , le 27 octobre 2022 , mis à jour le 27 octobre 2022 - 3 minutes de lecture
5/5 - (1 vote)

Une nouvelle version du botnet DDoS Fodcha a fait son apparition, avec des demandes de rançon injectées dans les paquets et de nouvelles fonctionnalités pour échapper à la détection de son infrastructure.

les chercheurs de 360Netlab ont découvert Fodcha en avril 2022, et depuis lors, il a été développé et mis à jour en silence, s’améliorant régulièrement et devenant une menace plus puissante.

Selon un nouveau rapport publié par les mêmes chercheurs, la dernière version 4 de Fodcha a atteint une ampleur sans précédent, ses développeurs ayant pris des mesures pour empêcher toute analyse après le dernier rapport de Netlab.

L’amélioration la plus notable de cette version du botnet est la livraison de demandes de rançon directement dans les paquets DDoS utilisés contre les réseaux des victimes.

Plus de puissance DDoS

En outre, le botnet utilise désormais le chiffrement pour établir la communication avec le serveur C2, ce qui complique la tâche des chercheurs en sécurité qui souhaitent analyser le logiciel malveillant et éventuellement démanteler son infrastructure.

En tant qu’opération DDoS, Fodcha s’est considérablement développé depuis avril, lorsqu’il ciblait une moyenne de 100 victimes par jour. Le nombre moyen de cibles a été multiplié par dix, atteignant 1 000 par jour.

List of C2 addresses used by Fodcha

Le botnet s’appuie désormais sur 42 domaines C2 pour faire fonctionner 60 000 nœuds de bot actifs par jour, générant jusqu’à 1Tbps de trafic destructeur.

Fodcha's victim heatmap

Selon Netlab, Fodcha a atteint un nouveau pic le 11 octobre 2022, en attaquant 1 396 cibles en une seule journée.

Voici quelques exemples notables d’attaques confirmées de Fodcha :

La plupart des cibles de Fodcha sont situées en Chine et aux États-Unis, mais la portée du botnet est déjà mondiale, ayant infecté des systèmes en Europe, en Australie, au Japon, en Russie, au Brésil et au Canada.

Les analystes de Netlab pensent que Fodcha gagne de l’argent en louant sa puissance de feu à d’autres acteurs de la menace qui souhaitent lancer des attaques DDoS. Cependant, la dernière version inclut également l’extorsion en demandant une rançon en Monero pour mettre fin aux attaques.

Sur la base des paquets DDoS décryptés par Netlab, Fodcha demande désormais le paiement de 10 XMR (Monero) aux victimes, soit une valeur d’environ 1 500 dollars.

Intégration des demandes de rançon

Ces demandes sont intégrées dans la partie “Données” des paquets DDoS du botnet et préviennent que les attaques se poursuivront si un paiement n’est pas effectué.

Cependant, comme Monero est une monnaie privée, il est beaucoup plus difficile de la tracer. Par conséquent, il n’est pas proposé à la vente par la quasi-totalité des bourses de crypto-monnaies américaines en raison des exigences légales visant à empêcher le blanchiment d’argent ou toute autre activité illicite.

Par conséquent, alors que les gangs de ransomware et autres acteurs de la menace demandent couramment XMR comme option de paiement, presque toutes les entreprises choisissent de payer en bitcoin, ce qui sera probablement une situation similaire avec les attaques DDoS.

Un nouveau malware Chaos infecte les appareils Windows et Linux pour des attaques DDoS

Imperva a atténué une attaque DDoS de longue durée de 25,3 milliards de requêtes

Comment fonctionnent les attaques de botnet et comment s’en défendre

hfrance

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.