Un grupo de delincuentes cuyas acciones han sido a veces responsables de un tercio del tráfico de SSH en Internet, la mayor parte ataques de fuerza bruta por SSH, ha sido cortado de una porción de Internet.

Aunque no es una botnet para atacar en el sentido tradicional, los proveedores de redes Level 3 Communications y Cisco han bloqueado el tráfico que emana de dos bloques de direcciones utilizadas por el grupo, las compañías han dicho que van a seguir haciéndolo hasta que el grupo migre a nuevos bloques de red.

Los atacantes, apodados SSHPsychos, han sido monitoreados desde el verano pasado, cuando se detectó un gran número de ataques de fuerza bruta por SSH. Investigadores de Malware Must Die y FireEye clasificaron las actividades del grupo, incluyendo su capacidad para dejar un rootkit basado en Linux en equipos comprometidos.

El grupo realiza escaneos en Internet con un número masivo de intentos de inicio de sesión a través de SSH desde las direcciones 103.41.124.0/23, utiliza una lista de más de 300 mil contraseñas, dijo Cisco. Si el ataque de fuerza bruta resulta, una caja en un rango distinto de direcciones IP inicia sesión y solicita el rootkit DDoS de Linux. El archivo proviene de una empresa de hosting con sede en EE.UU. en 23.234.60.140.

El rootkit entonces obtiene más instrucciones del servidor de comando y control (C&C), que incluyen archivos de configuración y los nombres de los archivos que desea eliminar.

Craig Williams de Cisco, líder técnico del equipo de investigación TALOS, dijo que la compañía no está lista para publicar los números que describan si sus acciones han tenido éxito, pero serán capaces de hacerlo dentro de una semana.

Mientras tanto, Cisco y Level 3 dijeron que esperan que sus acciones inspiren a otros proveedores para que actúen en consecuencia, sin embargo, Dale Drew de Level 3 dijo que había "poca respuesta y cooperación" de otros proveedores y hosts de infraestructura.