Il team di ricercatori di Microsoft 365 Defender Research ha pubblicato un'analisi approfondita di XorDDoS, noto anche come XOR DDoS per via dell'uso della crittografia a base XOR per la comunicazione dei server C2.
Secondo Microsoft, l'utilizzo del malware per l'avvio di attacchi Distributed Denial-of-Service (DDoS) è cresciuto vertiginosamente nell'ultimo semestre, con un tasso di crescita pari al 240%. I ricercatori sostengono che il successo di questa botnet è da ricercarsi nell'uso intensivo di diverse tattiche di evasione e permanenza, che la rendono invisibile e difficile da rimuovere.
In sostanza, la botnet sfrutta tecniche anti-forensi per interrompere l'analisi basata sulla struttura dei processi, aggirando i meccanismi di rilevamento basati su regole e la ricerca di file dannosi tramite hash. XorDDoS attacca diverse architetture dei sistemi Linux, da ARM (IoT) ai server x64, riuscendo a violare i sistemi vulnerabili grazie ad attacchi di tipo SSH brute-force. La botnet, inoltre, consente di installare rootkit, mantenere l'accesso ai dispositivi violati e caricare ulteriori payload malevoli.
In generale, è stata osservata una certa crescita di malware su Linux, soprattutto nel 2021, e le tipologie più diffuse, oltre a XorDDoS, sarebbero Mirai e Mozi, in ogni caso la prima resta quella dalla crescita più esplosiva. Anche i campioni di XorDDoS trovati dai ricercatori di sicurezza si sono decuplicati nel corso dell'ultimo anno e, in generale, questa tendenza alla crescita di attacchi rivolti a sistemi Linux sembra si protrarrà ancora nei prossimi mesi.
Un altro degli obiettivi principali degli hacker che utilizzano XorDDoS è l'implementazione di miner per criptovalute, in questo caso è stato riscontrato il miner noto come XMRig, che sfrutta le risorse hardware dei sistemi colpiti per minare coin per conto dei criminali informatici.