Cloudflare alerte sur l’héritier du botnet Meris
La société Cloudflare, spécialisée dans les réseaux de distribution de contenu (CDN), indique que le botnet à l’origine des plus grandes attaques par déni de service distribué (DDoS) qu’elle a enregistrées a ciblé près de 1 000 de ses clients au cours des dernières semaines.
Le botnet, que Cloudflare baptisé Mantis a généré une attaque DDoS courte mais record au cours du mois juin. Celle ci a atteint 26 millions de requêtes HTTPS par seconde (rps).
Les machines virtuelles dans le viseur
Le botnet Mantis exploite des machines virtuelles et des serveurs hébergés par des sociétés de cloud computing plutôt que de s’appuyer sur des objets connectés à faible bande passante.
Cloudflare affirme que Mantis est l’évolution du botnet Meris, qui s’appuyait sur des objets connectés comme des routeurs MikroTik compromis pour attaquer des sites Web populaires. Des milliers de routeurs MikroTik ont été piratés en 2018 et utilisés dans des attaques DDoS jusqu’en 2021.
“De même, le botnet Mantis exploite une petite flotte d’environ 5 000 bots, mais avec eux, il peut générer un trafic malveillant massif, responsable des plus grandes attaques DDoS HTTP que nous ayons jamais observées”, a déclaré Cloudflare.
Les attaques DDoS HTTPS sont plus coûteuses en termes de calcul pour l’attaquant et la victime en raison du coût de l’établissement d’une connexion chiffrée Transport Layer Security (TLS) sur Internet, selon Cloudflare.
“Mantis s’est étendu à diverses plates-formes de machines virtuelles et prend en charge l’exécution de divers proxys HTTP pour lancer des attaques “, note Cloudflare.
Un air de Meris
“Le nom Mantis a été choisi pour être similaire à “Meris” afin de refléter son origine, et aussi parce que cette évolution frappe vite et fort. Au cours des dernières semaines, Mantis a été particulièrement actif en dirigeant ses forces vers près de 1 000 clients de Cloudflare.”
Au cours du mois dernier, Mantis a lancé plus de 3 000 attaques DDoS HTTP contre des clients de Cloudflare, 36 % des attaques visant des clients du secteur de l’internet et des télécoms. Les autres cibles communes étaient les organes de presse et les éditeurs de jeux, mais il a également visé les sites Web d’organisations dans les domaines de la finance, du commerce électronique et des jeux d’argent.
Plus de 20 % des attaques ont visé des organisations américaines et plus de 15 % des attaques ont visé des organisations basées en Russie. Parmi les autres pays visés, mais comptant pour moins de 5 % des attaques, figurent la Turquie, la France, la Pologne, l’Ukraine, le Royaume-Uni, l’Allemagne, les Pays-Bas, le Canada, le Vietnam, Chypre, la Chine, Hong Kong, le Brésil, la Suède, la Lettonie, l’Inde et les Philippines.
Source : “ZDNet.com”
