«Опасный» ботнет на основе Rex содержит всего 150 машин

Пока весь мир прикован к ботнетам на базе Mirai, мы решили поведать Вам о не менее грозных по своим действиям, но гораздо более скромным в количестве устройств, здесь разработчики используют правило лучше меньше, да лучше. Компания Stormshield Security опубликовала развёрнутый отчёт  о малваре под названием Rex, исследователи уже более семи месяцев наблюдали за её деятельностью, с момента самого обнаружения.

Впервые Rex был обнаружен в мае 2016 года, уже в августе компания Доктор Веб выпустила доклад об этом вредоносном програмном обеспечении, специалисты заявили, что вредонос написан на языке Go, и он выбирает для атак сайты работающие под управлением абсолютно различных, а главное популярных CMS, например, тот же Drupal. Помимо этого в функционал малвари входит великолепная задача майнить криптовалюту, а так же легко может начинать и продолжать DDoS-атаки, а сама по себе она децентрализована по сути являясь P2P-ботнет.

По мнению Stormshield Security, создатели вредоноса абсолютно не заинтересованы в использовании DDoS функционала своего трояна. Они используют его как средство проникновения на Linux-машины, ведь именно там работают серверы Drupal, WordPress, Magento, помимо этого малварь проникает в такие приложения, как Exagrid, Apache Jetspeed, и роутеры AirOS.

По прошествию не продолжительного времени, злоумышленники выходят на контакт с администарцией сайта и просят заплатить им денег, иначе сайт будет атакован. Преступники выдают себя за известных ребят из группировки Armada Collective или заявляют, что они представляют Anonymous. Да-да, если вдуматься то никакого ботнета так то нет, просто хакеры компрометируют единичные серверы и потом занимаются вымогательством.

Это с одной стороны, но с другой, парадокс Rex’а в том, что он моментально был дописан, как только в сеть попали исходники Mirai, в его функционал был сразу же включён новый трюк, сканирование сети на поиск устройств с отрытыми Telnet-портами, а затем моментальный брутфорс их. Это нам демонстрирует, насколько авторы малвари пристально сидят на пульсе развития ботнетов и вредоносов в мире вообще.

Тем не менее попытки улучшить Rex, провалились сканирование Telnet-портов было до ужаса забаговано и успеха не принесли, по этому срочно силы были передислоцированы на SHH-сканер, который потерпел такое же фиасо, что довольно забавно, но разработчики Rex продолжали пистаь владельцам сайтов угрозы DDoS-атаки если им не заплатят. На данный момент «ботнет» Rex содержит всего 150 машин, по всему миру, и это довольно забавно потому что своим жертвам разработчикиугрожают именно потенциальной DDOs-атакой, а дефакто атаковтаь то нечем, как говорил мальчик в сказке: «А король голый!».

Если судить по тому, что оператора просто используют свой ботнет, мы можем легко понять, что не крупные игроки рынка и не принадлежат к какой-либо группировке хакеров. Ботнет скорее всего является обычнымэ кспериментом молодых хакеров, гораздо более интересно, что юные хакеры разработают потом, когда накопят опыт и разберут свои ошибки, я в свою очередь желаю им искренне вырастить настоящего TiRex.