La Threat Research Team (TRT) de Sysdig a découvert des attaques d’un domaine nommé “rebirthltd[.]com” sur leur honeypot Hadoop. Le domaine se rapporte à un botnet DDoS-as-a-Service. Le service est basé sur la famille de logiciels malveillants Mirai, et les opérateurs font la publicité de leurs services via Telegram et une boutique en ligne (rebirthltd.mysellix[.]io). Les acteurs malveillants qui exploitent ce botnet sont motivés financièrement et font la publicité de leur service principalement auprès de la communauté des joueurs de jeux vidéo, bien que rien ne prouve que ce botnet ne soit pas acheté à d’autres fins que celles liées aux jeux, et que les organisations risquent toujours d’être victimes des attaques de ces botnets.
La publication du code source de Mirai en 2017 et l’avènement des crypto-monnaies ont créé une toute nouvelle industrie autour de l’offre de botnets pour des services Denial of Service. Rebirth montre l’évolution continue de ce modèle d’affaires qui devient plus sophistiqué sur le plan commercial tout en profitant de l’essor actuel des CVE.
Quelle que soit la motivation des utilisateurs, ces services continueront à représenter une menace pour tous les réseaux et à renforcer la nécessité d’une bonne hygiène de sécurité. Les organisations ne veulent pas être imbriquées dans ces botnets, car cela entraînerait une dégradation de leurs performances, une augmentation de leurs coûts et, éventuellement, une atteinte à leur réputation. La gestion proactive des vulnérabilités et la détection des menaces en temps réel sont deux moyens efficaces de faire face à des menaces telles que le DDoS botnet Rebirth.