Une fois n'est pas coutume, le botnet XOR DDoS n'est pas constitué de machines Windows infectées mais de systèmes Linux infectés par le cheval de Troie éponyme. À leur insu, ils deviennent la force de frappe pour mener des attaques par déni de service distribué.

Botnet Ce malware n'est pas tout à fait nouveau. Il avait déjà fait parler de lui fin 2014 mais il existe plusieurs variantes. Il ne se propage pas via l'exploitation d'une vulnérabilité dans le noyau Linux mais par le biais de services SSH (Secure Shell) exposés à des attaques par force brute en raison de mots de passe faibles.

Selon Akamai, le botnet XOR DDoS est monté en gamme avec des attaques pouvant générer un trafic de données de 150 gigabits par seconde voire plus. Largement suffisant pour mettre hors ligne ses cibles.

Chaque jour une vingtaine de sites sont ainsi visés. Pour 90 % d'entre eux, il sont situés en Asie et œuvrent dans le secteur du jeu vidéo et de l'éducation. Une récente attaque a atteint 179 Gbps, suivie par une autre à 109 Gbps.

Pour Akamai, il est clair que les cybercriminels s'intéressent aux systèmes Linux mal configurés ou non maintenus pour les utiliser dans des botnets et des campagnes d'attaques DDoS.

Source : Akamai