Les experts en sécurité Web Cloudflare ont récemment repéré un nouveau botnet qui, selon lui, est probablement le plus puissant jamais vu.
Surnommée Mantis, la société affirme qu’elle a évolué à partir d’un botnet connu auparavant – Meris. Il y a quelques choses qui rendent Mantis exceptionnel, selon les chercheurs. Premièrement – il a moins de bots dans son réseau, par rapport à ses homologues – environ 5 000, mais il est capable de lancer des attaques atrocement puissantes.
Le plus grand déni de service distribué (s’ouvre dans un nouvel onglet) (DDoS) l’attaque enregistrée est de 26 millions de requêtes générées par seconde (rps), que Cloudflare dit avoir réussi à atténuer. Pour rendre les choses encore plus impressionnantes – les requêtes n’ont pas été effectuées via HTTP, mais plutôt HTTPS – un type d’attaque plus coûteux, étant donné que ce type d’attaque nécessite une puissance de calcul supplémentaire pour établir une connexion TLS sécurisée.
Piratage de serveurs et de VM
« Cela représente une moyenne de 5 200 rps HTTPS par bot », a expliqué Omer Yoachimik, chef de produit Cloudflare. « Générer 26 millions de requêtes HTTP est déjà assez difficile à faire sans la surcharge supplémentaire liée à l’établissement d’une connexion sécurisée, mais Mantis l’a fait via HTTPS. »
Mantis est capable de le faire car il ne détourne pas les appareils à faible consommation d’énergie, tels que les DVR ou les caméras, mais plutôt des terminaux puissants (s’ouvre dans un nouvel onglet) – serveurs ou machines virtuelles.
Le botnet est également capable d’attaquer à grande échelle – au cours du premier mois où Cloudflare a gardé un œil sur Mantis, il a réussi à lancer plus de 3 000 attaques HTTP DDoS contre ses clients.
La plupart du temps, les opérateurs optent pour des entreprises d’Internet et de télécommunications (36%), des entreprises de médias et d’édition (15%) et des organisations de jeux et de finance (12%). Les victimes sont généralement situées aux États-Unis (20 %), bien que les entreprises basées en Russie soient également une cible majeure (15 %), suivies de celles en Turquie, en France, en Pologne, en Ukraine, au Royaume-Uni, au Canada et en Chine.
Les attaques par déni de service distribué sont souvent utilisées comme distraction, tandis que les acteurs de la menace mènent des attaques plus dévastatrices, telles que les ransomwares ou l’exfiltration de données.
Via : Le Registre (s’ouvre dans un nouvel onglet)