La botnet Gorilla lance plus de 300 000 attaques DDoS dans 100 pays

La botnet Gorilla lance plus de 300 000 attaques DDoS dans 100 pays
Share on Pinterest Share on LinkedIn

Une nouvelle menace cybernétique connue sous le nom de GorillaBot a affecté des universités, des banques et des gouvernements dans le monde entier, provoquant une vague d’attaques par déni de service distribué (DDoS).

Un groupe de chercheurs de la société de cybersécurité NSFOCUS a identifié une variante dangereuse du botnet Mirai, nommée GorillaBot, qui a lancé plus de 300 000 attaques DDoS sur une période de trois semaines, affectant 100 pays. Entre le 4 et le 27 septembre 2024, la botnet a émis en moyenne 20 000 commandes d’attaque par jour, parvenant à saturer les systèmes d’organisations gouvernementales, universités, fournisseurs de télécommunications, banques et plateformes de jeux et paris.

Les attaques, qui ont frappé particulièrement fort en Chine, États-Unis, Canada et Allemagne, se sont concentrées sur la génération d’un immense volume de trafic de données dans le but de surcharger et de paralyser les services de ses victimes. Selon les experts de NSFOCUS, la botnet Gorilla utilise diverses techniques d’attaque telles que les inondations UDP, ACK BYPASS, Valve Source Engine (VSE), SYN et ACK, lui permettant de lancer des attaques massives et hautement destructrices.

Technologie derrière GorillaBot

La botnet GorillaBot n’est pas seulement remarquable pour l’ampleur de ses attaques, mais également pour sa sophistication. La structure de Gorilla prend en charge plusieurs architectures CPU comme ARM, MIPS, x86_64 et x86, ce qui lui permet d’infecter une large gamme d’appareils, y compris les IoT et serveurs dans le cloud. Une fois qu’un appareil a été compromis, la botnet se connecte à l’un des cinq serveurs de commande et contrôle (C2) prédéfinis, où elle reçoit les ordres pour lancer les attaques DDoS.

De plus, le malware utilise la vulnérabilité dans le protocole UDP pour usurper des adresses IP, générant un volume élevé de trafic malveillant qui rend difficile sa détection et son blocage. NSFOCUS a souligné que la nature sans connexion du protocole UDP est clé dans les attaques de GorillaBot, car elle permet aux attaquants de falsifier les adresses IP source et de saturer les réseaux des victimes.

Exécution de code à distance via Apache Hadoop YARN

L’un des aspects les plus préoccupants de cette botnet est sa capacité à exploiter une vulnérabilité dans Apache Hadoop YARN RPC, lui permettant d’exécuter du code à distance sur des systèmes compromis. Cette vulnérabilité, qui a été utilisée de manière malveillante depuis 2021, permet aux attaquants de prendre le contrôle de serveurs Hadoop et d’élargir la portée de leurs attaques.

Une fois le système compromis, GorillaBot établit une persistance à long terme en créant des fichiers de service personnalisés qui s’exécutent chaque fois que le système redémarre. Le malware ajoute également des commandes malveillantes à des fichiers clés du système, tels que /etc/inittab, /etc/profile et /boot/bootcmd, lui permettant de télécharger et exécuter des scripts depuis des serveurs distants.

Haut niveau de sophistication et résistance à la détection

Les chercheurs ont souligné que GorillaBot a mis en œuvre plusieurs méthodes pour échapper à la détection, y compris l’utilisation d’algorithmes de chiffrement communément employés par le groupe Keksec, ce qui lui permet de cacher des informations clés et de maintenir le contrôle sur les appareils infectés pendant de longues périodes.

« GorillaBot est un botnet émergent avec un haut degré de conscience des tactiques de contredétection », a indiqué NSFOCUS dans son rapport. « Sa capacité à maintenir le contrôle à long terme sur des appareils IoT et des hôtes dans le cloud, combinée à une diversité de méthodes d’attaque DDoS, en fait une menace sérieuse et complexe à aborder ».

Le paysage de la cybersécurité face à la menace de GorillaBot

Cette nouvelle découverte met en évidence le niveau croissant de sophistication des botnets et la facilité avec laquelle ils peuvent tirer parti de vulnérabilités connues pour lancer des attaques massives. Les spécialistes de la cybersécurité préviennent que la prolifération des appareils IoT et l’expansion des services dans le cloud ont augmenté le nombre de vecteurs d’attaque disponibles pour les cybercriminels.

La menace de GorillaBot souligne la nécessité pour les organisations de renforcer leurs défenses, d’implémenter des solutions de détection avancées et de maintenir leurs systèmes à jour afin d’éviter l’exploitation de vulnérabilités telles que celle d’Apache Hadoop YARN RPC. Pendant ce temps, les attaques DDoS restent l’une des formes de cybercriminalité les plus destructrices, affectant les entreprises et les services publics dans le monde entier.

La communauté de la cybersécurité continuera de surveiller le comportement de GorillaBot et d’autres acteurs malveillants pour prévenir de futures vagues d’attaques.

Source : Open Security

Share on Pinterest Share on LinkedIn

Info Cloud

le dernier

GPMI : la nouvelle interface chinoise qui veut remplacer le HDMI et le DisplayPort

Meta lance Llama 4 : la nouvelle génération de son intelligence artificielle qui défie GPT-4o et Gemini 2.0

OpenAI prépare son assaut sur le hardware avec l’éventuelle acquisition de la startup de Jony Ive pour 500 millions de dollars

Arcep Supervise la Diffusion des Journaux et Magazines

Google, Microsoft, Amazon et IBM se livrent à une compétition pour conquérir l’informatique quantique : voici la course pour l’avenir du traitement des données.

Huawei, leader dans le Quadrant Magique de Gartner 2025 pour les réseaux de centres de données

© Copyright 1995-2024 Color Vivo Internet SLU. Otros contenidos se cita fuente. Infraestructura cloud servidores dedicados de Stackscale.