Reaper : le petit frère de Mirai vise le secteur de la finance

Apr 11, 2018
Vote on Hacker News

reaper-vise-secteur-finance

Apparu en octobre 2017, le malware Reaper, issu de la publication du code source de Mirai, vient de faire parler de lui pour la première fois : le botnet a été impliqué dans au moins trois attaques DDoS visant le secteur de la finance. S’il est encore trop petit pour être dangereux à grande échelle, ce botnet est une version améliorée de Mirai – et donc à surveiller de très près.

Des chercheurs en sécurité ont identifié en octobre 2017 un nouveau malware, s’appuyant sur le code source de Mirai, publié un an avant, mais en l’améliorant. Nommé Reaper, ce botnet fonctionne sur le même principe que son grand frère : il scanne le réseau, en quête de machines à infecter.

Un Mirai 2.0, plus évolutif

Mais là où Mirai se contentait de tester une liste d’identifiants par défaut, Reaper dispose d’une architecture ouverte, lui permettant de prendre en compte les nouvelles vulnérabilités découvertes : si ses concepteurs lui apprennent l’existence d’une faille, il peut s’y engouffrer et s’en servir pour prendre le contrôle d’un appareil. Cette architecture évolutive le rend potentiellement très dangereux.

Quoique connu, il n’avait jamais été utilisé dans une attaque et était supposé dormant. Mais la société Recorded Future vient de mentionner une triple attaque DDoS durant le mois de janvier liée directement à ce botnet. Elle visait des entreprises du secteur de la finance : le volume de la seule attaque que Recorded Future est parvenue à mesurer s’élevait à 30 Gb/s.

Une attaque d’un faible volume, mais la vigilance reste de mise

Ce chiffre peut faire sourire quand on le compare à l’attaque par memcached qui a visé en février 2018 GitHub, et qui atteignait les 1,3 Tb/s – un volume plus de 40 fois supérieur, auquel le serveur avait d’ailleurs résisté.

Mais sous-estimer un virus n’est jamais une bonne stratégie : d’une part parce que cette puissance d’attaque peut fragiliser voire paralyser de petites structures ; d’autres part parce que, si Reaper contrôle actuellement environ 13 000 appareils, essentiellement en Russie, en Ukraine et au Brésil, sa facilité à infecter de nouvelles machines pourrait rapidement le faire monter en grade, et en puissance potentielle d’attaque. Vigilance, donc.