Se consideră că noul botnet are o infrastructură web foarte puternică, cu posibilitatea de zeci de milioane de solicitări HTTP. Înainte de a atinge un vârf de 21,8 milioane de solicitări RPS, a redus un atac împotriva cumpărătorului Cloudflare din domeniul monetar, alimentat de același botnet care a atins ușor in 30 de zile 17,2 milioane RPS.

Compania rusă de atenuare DDoS Qrator Labs, care a dezvăluit detaliile atacului joi, a numit Mēris - ce înseamnă „ciumă” în limba letonă - „botnet a unui nou soi.

De asemenea este evident că acest botnet este în creștere chiar și acum. Exista o presupunere, că botnet-ul se dezvoltă datorită atacuri brutteforce, deși este prea evidentă presupunere și cu puține șanse pentru existență. Mai probabil pare a fi o anumită vulnerabilitate care a fost păstrată în secret până a începe vreo campanie masivă sau comercializarea pe piața neagră. Mēris poate sparge aproape orice infrastructură împreună cu niște rețele extrem de robuste datorită energiei RPS enorme pe care o furnizează alături.

Atacurile DDoS au folosit o strategie denumită pipelining HTTP, care face posibil ca un client (adică un browser web) să deschidă o conexiune la server și să facă o serie de solicitări fără a aștepta fiecare reacție. Traficul rău intenționat al site-ului web provine de la peste 250.000 de gazde contaminate, în principal dispozitive de rețea de la Mikrotik, cu dovezi care indică un spectru de variații Router OS care au fost armate prin exploatarea vulnerabilităților, totuși necunoscute.

Într-un articol al forumului de discuții, compania Letonă de echipamente de rețea a susținut că aceste atacuri folosesc un set identic de routere care au fost compromise ca urmare a unei vulnerabilități din 2018 (CVE-2018-14847, scor CVSS: 9.1) care a permis acest lucru și că nu există vulnerabilități noi (cu zerodayattack) care să afecteze echipamentul.

„Din păcate, fixarea vulnerabilităților nu protejează prompt aceste routere. Dacă cineva ți-a obținut parola în 2018, doar un update vă ajută. De asemenea, trebuie să modificați parola, să vă uitați din nou la firewall-ul dvs. dacă nu permite intrarea la distanță pentru părți necunoscute și să aruncați o privire asupra scripturilor pe care nu le-ați construit ”, a menționat Qrator Labs.

Companiile sunt încurajate să actualizeze unitățile MikroTik la firmware-ul cel mai actualizat pentru a depăși eventualele atacuri de botnet, de asemenea li se recomandă să își schimbe parolele de administrare pentru a le proteja de încercările de atacuri brutteforce.