DDoS-aanvallen zijn niet nieuw, maar als de aanval groot genoeg is dan kan een internetdienst er stevig onder lijden. Dat is de laatste weken het geval bij Russische Yandex, vooral bekend van haar zoekmachine.

De aanvallen begonnen in augustus, maar nemen gestaag toe in volume, met een piek tot 21,8 RPS (requests per second) op 5 september. Dat is groter dan de aanval die Cloudflare in augustus meldde. Die hield het vorige record met 17,2 miljoen verzoeken per seconde.

Mēris botnet

Intussen geeft Qrator, een beveiligingsbedrijf dat samenwerkt met Yandex tegen de aanval, meer details. Het zou gaan om het Mēris botnet. Mēris is Lets voor 'plaag' en zou bestaan uit tienduizenden, momenteel mogelijk tot 250.000, toestellen. Qrator merkt op dat het niet gaat om eenvoudige internet geconnecteerde toestellen, maar om krachtige netwerkapparatuur die wordt misbruikt.

Mikrotik apparatuur

Zo zouden de aanvallende hosts vooral bestaan uit apparatuur van Mikrotik, een netwerkfabrikant uit Letland. Het bedrijf kon dat achterhalen omdat de aanvallen poorten 2000 en 5678 gebruiken. Mikrotik geeft aan dat het geen weet heeft van nieuwe kwetsbaarheden in haar producten, maar het zou zowel om toestellen gaan met recente firmware, als toestellen met oudere versies, waarvan wel kwetsbaarheden gekend zijn.

Qrator geeft in haar blogpost meer technische details over de werking van het Mēris botnet. Zo geeft het nog mee dat het blokkeren van verzoeken van dergelijke apparatuur een optie is. Maar het geeft aan dat het mogelijk is dat het botnet nog zwaardere aanvallen zal uitvoeren en dat kleinere servers mogelijk een stuk kwetsbaarder zijn voor pogingen van dit kaliber. Wie apparatuur van Mikrotik heeft wordt aangeraden om de firmware actueel te houden en eventueel wachtwoorden te veranderen uit voorzorg.

DDoS-aanvallen zijn niet nieuw, maar als de aanval groot genoeg is dan kan een internetdienst er stevig onder lijden. Dat is de laatste weken het geval bij Russische Yandex, vooral bekend van haar zoekmachine.De aanvallen begonnen in augustus, maar nemen gestaag toe in volume, met een piek tot 21,8 RPS (requests per second) op 5 september. Dat is groter dan de aanval die Cloudflare in augustus meldde. Die hield het vorige record met 17,2 miljoen verzoeken per seconde.Intussen geeft Qrator, een beveiligingsbedrijf dat samenwerkt met Yandex tegen de aanval, meer details. Het zou gaan om het Mēris botnet. Mēris is Lets voor 'plaag' en zou bestaan uit tienduizenden, momenteel mogelijk tot 250.000, toestellen. Qrator merkt op dat het niet gaat om eenvoudige internet geconnecteerde toestellen, maar om krachtige netwerkapparatuur die wordt misbruikt.Zo zouden de aanvallende hosts vooral bestaan uit apparatuur van Mikrotik, een netwerkfabrikant uit Letland. Het bedrijf kon dat achterhalen omdat de aanvallen poorten 2000 en 5678 gebruiken. Mikrotik geeft aan dat het geen weet heeft van nieuwe kwetsbaarheden in haar producten, maar het zou zowel om toestellen gaan met recente firmware, als toestellen met oudere versies, waarvan wel kwetsbaarheden gekend zijn.Qrator geeft in haar blogpost meer technische details over de werking van het Mēris botnet. Zo geeft het nog mee dat het blokkeren van verzoeken van dergelijke apparatuur een optie is. Maar het geeft aan dat het mogelijk is dat het botnet nog zwaardere aanvallen zal uitvoeren en dat kleinere servers mogelijk een stuk kwetsbaarder zijn voor pogingen van dit kaliber. Wie apparatuur van Mikrotik heeft wordt aangeraden om de firmware actueel te houden en eventueel wachtwoorden te veranderen uit voorzorg.