Selon un chercheur en sécurité identifié sur Twitter par le pseudo MalwareTech, « depuis vendredi dernier, les réseaux de zombies créés par le malware Mirai lancent des attaques par déni de service DDoS sur des cibles apparemment aléatoires, et très ponctuelles ». Le chercheur, qui a suivi les botnets générés par le malware Mirai, a contribué à la création d’un flux Twitter permettant de surveiller les attaques DDoS de Mirai. Pour la seule journée de mercredi, le flux a permis de comptabiliser 60 attaques environ, dont la majorité durait entre 30 secondes et plus d'une minute.

Depuis que le développeur de Mirai a livré le code source sur un forum en ligne - c’était le 30 septembre dernier - des pirates ont commencé à produire des clones du malware. « Aujourd’hui, 23 serveurs uniques de commande et de contrôle sont liés à l'activité de Mirai », a indiqué MalwareTech dans les messages publiés sur Twitter. Mais tous ces serveurs ne sont pas actuellement actifs. « Le serveur à l’origine de la perturbation qui a affecté l’internet vendredi dernier a été déconnecté depuis l'attaque. C’est lui qui avait ciblé le gros fournisseur de services DNS américain Dyn, compromettant sérieusement l’activité de dizaines de sites aux États-Unis et en Europe », a-t-il écrit.

Des botnets restent très actifs 

Cependant, d'autres botnets contrôlés par Mirai sont restés en place. « Il s’agit probablement des services DDoS loués et utilisés par les pirates pour se faire du cash », a encore expliqué MalwareTech. Ces services d’attaques DDoS à la demande submergent la cible en générant un trafic Internet important, jusqu’à sa mise hors connexion. Ils permettent de perturber brièvement un site Web ou même de déconnecter des utilisateurs, en particulier des joueurs en ligne. « Dans des jeux Xbox comme Halo, les perdants utilisent cette méthode pour pousser les bons joueurs de l'équipe adverse hors du jeu afin de gagner la partie », a encore expliqué MalwareTech dans un Tweet.