BestBuy e Popopret offrono oltre 400 mila bot infetti per almeno 2 settimane. Con caratteristiche nuove rispetto al malware originale. Cyberspazio a rischio

Nuovi guai per la cybersecurity e Internet of Things (IoT) a livello globale. Il botnet Mirai è ora disponibile per essere affittato. Lo riporta il sito Bleeping Computer. Due hacker hanno pagato per avere accesso al malware, che secondo loro ha “in pancia” oltre 400 mila bot infetti. Questo è noto per essere stato usato recentemente il più grande attacco Distributed denial of services (DDoS) di sempre. Almeno finora. Dopo i maxi ddosattacks al provider Dyn e al blog del giornalista Brian krebs, il creatore di Mirai ha reso pubblico il codice sorgente. Grazie a ciò, altri hanno potuto seguire le sue tracce e sviluppare varianti o aggiungere altri botnet alla lista. In questo contesto due hacker hanno cominciato a pubblicizzare il loro servizio DDoS-for-hire, costruito sul malware.

Cosa vendono i due hacker BestBuy e Popopret

Il messaggio dei 2 hacker recita che affittiamo fino a oltre 400 mila bot infetti di Mirai. Usiamo 0day exploits per recuperarli, non solo telnet e ssh scanner. Inoltre, tecniche di mitigazione Anti ddos per tcp/udp. Il periodo minimo per avere a disposizione il malware è due settimane. Si offrono anche “limiti e piani flessibili” e si promettono test gratuiti. I due si fanno chiamare BestBuy e Popopret. Sono noti nell’ambiente per essere gli autori del malware GovRAT, usato per fare data breach e rubare informazioni a diverse aziende Usa. Fanno parte di un gruppo attivo sul forum Hell, considerata la “casa” dell’elite hacker. Propoet pubblicizza anche la possibilità per il malware di bypassare alcuni sistemi di mitigazione DDoS: ciò facendo spoofing sull’indirizzo IP del bot.

Quanto costa affittare il botnet Mirai?

BestBuy e Popopret hanno spiegato a Bleeping Computer che il prezzo è determinato da quanti bot si affittano. Più malware, prezzo maggiore. Inoltre, influisce anche il periodo di attacco e il “cooldown time”: unico fattore che determina sconti a seconda della durata. Sulla cifra complessiva non ci sono dettagli. Comunque, i due hacker hanno fatto un esempio per dare l’idea: 50 mila bot per un’ora di attacco e 5-10 minuti di cooldown costano circa 3-4mila dollari per 2 settimane.

Come si entra in possesso del malware affittato?

Una volta raggiunto l’accordo con il compratore, gli viene inviato un Onion URL con la quantità di botnet richiesta. Vi si può connettere via Telnet e lanciare gli attacchi. Peraltro, non si tratta del malware Mirai, piuttosto di una versione che ha subito un “lifting”. L’ originale, infatti, era limitato a solo 200 mila bot. Il motivo era il so scopo: lanciare attacchi brute-force con Telnet e con una lista di combinazioni di 60 username & password. Il limite era dato dalla capacità delle porte di Telnet, in grado di gestire solo 200 mila apparecchi in simultanea. Le nuove varianti, invece, possono usare exploits e zero-days.

L’articolo completo su Bleeping Computer