Le nouveau botnet Gorilla déclenche plus de 300 000 attaques DDoS dans 100 pays
La cybersécurité est confrontée à une nouvelle menace, qui s’appelle Gorilla, autrement connu sous le nom de GorillaBot. Ce botnet, une variante du célèbre botnet Mirai, a déclenché un torrent d’attaques par déni de service distribué (DDoS), dépassant les 300 000 attaques dans 100 pays en quelques semaines seulement. Selon la société de cybersécurité NSFOCUS, cette vague incessante d’attaques s’est produite entre le 4 et le 27 septembre 2024, provoquant des ravages à l’échelle mondiale.
Table of Contents
L'étendue de la portée du botnet Gorilla
En un peu moins d’un mois, le botnet Gorilla a lancé en moyenne 20 000 attaques DDoS par jour. Les États-Unis, la Chine, le Canada et l’Allemagne sont devenus ses principales cibles, et un large éventail de secteurs d’activité a été touché : universités, fournisseurs de télécommunications, banques et même l’industrie du jeu et des paris. Ce qui rend la situation encore plus alarmante, c’est l’ampleur de ces attaques.
Le botnet utilise principalement divers vecteurs d'attaque, notamment les attaques UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood et ACK flood. Ces méthodes sont conçues pour submerger les systèmes ciblés de trafic, rendant difficile, voire impossible, leur fonctionnement normal. L'utilisation d'attaques UDP flood, qui exploitent la nature sans connexion du protocole UDP pour générer une quantité écrasante de trafic en usurpant les adresses IP sources, est particulièrement préoccupante.
Un malware très sophistiqué
Au-delà de son volume, le botnet Gorilla se distingue par sa sophistication. Le botnet est conçu pour fonctionner sur plusieurs architectures de processeurs, notamment ARM, MIPS, x86_64 et x86, ce qui lui permet d'infiltrer un large éventail d'appareils. Une fois que le malware infecte un système, il se connecte à l'un des cinq serveurs de commande et de contrôle (C2) prédéfinis pour recevoir de nouvelles commandes DDoS.
De plus, le malware exploite une vulnérabilité connue dans Apache Hadoop YARN RPC, une faille exploitée depuis 2021. Ce faisant, le botnet Gorilla parvient à exécuter du code à distance sur les appareils infectés, ce qui lui donne la possibilité de maintenir un contrôle à long terme sur ces systèmes. La persistance est assurée par la création de fichiers de service qui exécutent automatiquement un script shell à chaque démarrage du système ou connexion d'un utilisateur.
Stratégies de contre-détection
Ce qui est vraiment inquiétant avec Gorilla, c'est la façon dont il échappe à la détection. Selon NSFOCUS, le botnet utilise des techniques de chiffrement pour masquer des informations clés, ce qui rend difficile la détection et la neutralisation du malware par les professionnels de la cybersécurité. Il emprunte également des méthodes de chiffrement au groupe Keksec, un collectif notoire connu pour avoir développé des logiciels malveillants ciblant les appareils IoT et les systèmes cloud. La combinaison de ces stratégies permet au botnet Gorilla de garder le contrôle des appareils infectés pendant de longues périodes sans être détecté.
Pourquoi vous devriez vous en soucier
L'expansion rapide du botnet Gorilla et sa capacité à mener des attaques DDoS à grande échelle dans un large éventail de secteurs en font une menace redoutable pour les entreprises, les gouvernements et les particuliers. Les appareils IoT étant de plus en plus courants dans les foyers et les industries, le risque d'attaques menées par des botnets ne cesse de croître. Pour les organisations, en particulier celles des secteurs ciblés, il est essentiel de prendre des mesures immédiates pour renforcer les défenses en matière de cybersécurité afin d'atténuer ce type d'attaques.
L'émergence du botnet Gorilla nous rappelle que les cybermenaces évoluent et deviennent de plus en plus agressives et sophistiquées. Que vous soyez un particulier gérant des appareils IoT à domicile ou une entreprise exploitant une infrastructure critique, garder une longueur d'avance sur ces menaces nécessite une vigilance constante et des mesures proactives de cybersécurité. Avec des botnets comme Gorilla dans la nature, ce n'est pas le moment de se reposer sur ses lauriers.
Les organisations doivent travailler en étroite collaboration avec les sociétés de cybersécurité et se tenir au courant des dernières vulnérabilités et menaces pour protéger leurs réseaux.
