Un botnet Mirai est à louer pour 4 000 dollars

Mirai est un malware qui cible les systèmes embarqués et les appareils de l’internet des objets. Mirai a été utilisé ces derniers mois pour lancer les plus grandes attaques DDoS connues à ce jour. Le fournisseur OVH s’est pris une attaque de 1,1 Tbps, on a également le service de DNS Dyn qui est tombé en panne pendant quelques heures ce qui a affecté de nombreux sites ainsi que l’expert en sécurité Brian Krebs qui s’est pris une attaque de 620 Gbps sur son blog.

Après ces attaques, le développeur de Mirai a publié le code source du Malware pour que d’autres pirates puissent créer leurs propres Botnets.¹ Cela permet aussi de brouiller les traces du développeur. Flashpoint rapporte qu’il y a actuellement de nombreux botnets Mirai sur le marché tandis que d’autres l’utilisent pour créer des petits canons DDoS pour leurs besoins personnels.² Des chercheurs en sécurité proposent même le tracking de tous ces Botnets en circulation via un compte Twitter et un site web.^3 4

Un botnet Mirai de 400 000 bots à louer pour 4 000 dollars

Parmi tous ces botnets en circulation, il y en a un qui se démarque du lot. C’est actuellement le plus grand botnet Mirai qui a été découvert puisqu’il possède plus de 400 000 bots. Et les 2 hackers, qui possèdent ce botnet, ont commencé à le promouvoir dans différents services de messagerie. Ils louent ce botnet si vous êtes prêt à payer le prix. Le prix de ce botnet Mirai n’est pas donné. Les pirates estiment que cela dépend de l’ampleur de l’attaque. Mais un tarif moyen est de 3 000 à 4 000 dollars pour 50 000 bots avec une attaque pendant 60 minutes et un Cooldown de 5 à 10 minutes pendant une période de 2 semaines. Le Cooldown permet d’éviter que les appareils tombent en panne sous l’ampleur de l’attaque et pour éviter que le DDoS soit gaspillé. C’est vraiment très cher, mais on peut dire que ce type de Botnet peut faire des dégâts monstrueux.

Une annonce de location du botnet Mirai qui circule sur les messageries

Les 2 pirates derrière ce Botnet ne sont pas des amateurs. Bleeping Computer rapporte que ce sont BestBuy et Popopret qui sont également derrière le malware GovRAT qui avait attaqué plusieurs sites gouvernementaux.⁵ Ce sont des habitués à un forum internet connu comme Hell qui rassemblait de nombreux pirates de haute volée. Bleeping Computer leur a demandé de faire une démonstration de leur botnet, mais les pirates ont refusé en estimant qu’ils ne veulent pas être associés à une attaque ciblée. Mais il y a des pistes qui suggèrent que ce botnet est le responsable de la tentative de la coupure internet au Liberia.⁶ Mais ce botnet est plus dangereux que l’original. Le premier botnet Mirai possédait uniquement 200 000 bots tandis que celui-ci peut déclencher une attaque provenant de 400 000 appareils. La principale raison est que le premier Botnet utilisait uniquement des failles dans Telnet tandis que celui-ci utilise également l’accès SSH. De plus, le premier botnet utilisait uniquement une combinaison de mots de passe et d’utilisateur tandis que celui-ci exploite des failles de type zéro day.

Et pour couronner le tout, ce botnet Mirai est capable de contourner les mécanismes de défense contre le DDoS en masquant son adresse IP. De ce fait, non seulement, on aura une attaque de très grande ampleur, mais ce sera difficile de la bloquer. Une fois qu’un client potentiel est intéressé par la location de ce botnet Mirai, il contacte les pirates pour la durée de la location, il effectue le paiement et il reçoit un lien en Onion sur le réseau TOR où il va accéder au Botnet via Telnet.

---

Mes livres

Le Basilic de Roko	Mon parcours de rédacteur web	Science corrompue et servile	Nous, Tueurs en série