Gli esperti di sicurezza web di Cloudflare hanno recentemente rilevato una nuova botnet che, secondo loro, è forse la più potente mai vista.
Soprannominata Mantis, l'azienda afferma di essersi evoluta da una botnet precedentemente nota: Meris. Ci sono alcune cose che rendono Mantis eccezionale, secondo i ricercatori. Innanzitutto, ha meno bot nella sua rete, rispetto alle sue controparti, circa 5000, ma è in grado di lanciare attacchi terribilmente potenti.
Il più grande attacco DDoS (Distributed Denial of Service (si apre in una nuova scheda)) registrato è di 26 milioni di richieste generate al secondo (rps), che Cloudflare afferma di aver mitigato con successo. Per rendere le cose ancora più impressionanti, le richieste non sono state effettuate tramite HTTP, ma tramite HTTPS, un tipo di attacco più costoso, poiché questo tipo di attacco richiede potenza di calcolo aggiuntiva per stabilire una connessione TLS sicura.
Hackerare server e macchine virtuali
"Si tratta di una media di 5200 rps HTTPS per bot", ha spiegato Omer Yoachimik, product manager di Cloudflare. "Generare 26 milioni di richieste HTTP è già abbastanza difficile senza il sovraccarico aggiuntivo di stabilire una connessione sicura, ma Mantis lo ha fatto tramite HTTPS."
Mantis può farlo perché non dirotta dispositivi a bassa potenza come DVR o telecamere, ma piuttosto potenti endpoint (si apre in una nuova scheda) - server o macchine virtuali.
La botnet è anche in grado di attaccare su larga scala: nel primo mese in cui Cloudflare ha controllato Mantis, è riuscita a lanciare più di 3000 attacchi HTTP DDoS contro i suoi clienti.
Il più delle volte, gli operatori optano per Internet e società di telecomunicazioni (36%), società di media ed editoria (15%) e organizzazioni finanziarie e di gioco (12%). Le vittime si trovano in genere negli Stati Uniti (20%), sebbene anche le società con sede in Russia siano un obiettivo importante (15%), seguite da quelle in Turchia, Francia, Polonia, Ucraina, Regno Unito, Canada e Cina.
Gli attacchi denial-of-service distribuiti vengono spesso utilizzati come distrazione mentre gli attori delle minacce eseguono attacchi più devastanti, come ransomware o esfiltrazione di dati.
Via: Il Registro (si apre in una nuova scheda)