Onderzoekers van Bitdefender hebben onlangs een nieuw IoT-botnet ontdekt dat wordt gebruikt voor DDoS-aanvallen: Dark Nexus. De huidige versie is nog steeds operationeel en aanzienlijk krachtiger dan eerdere versies. Aangezien er in de huidige versie geen gebruik meer wordt gemaakt van exploits, maar puur van brute forcen op basis van standaardwachtwoorden, is het verspreidingsmechanisme van Dark Nexus wel minder krachtig dan dat van botnet-concurrent Mirai. De groei lijkt er op dit moment dan ook uit. Meer dan 50% van de bots zijn verspreid over China, de Republiek Korea en Thailand.
Op YouTube wordt de botnet geadverteerd voor een prijs oplopend van 15 GBP per maand voor 2500 seconden bottijd tot 80 GBP per maand voor onbeperkte admin-toegang.
Eerdere versies gebruikten ook exploits om toegang te krijgen, maar nu verspreidt Dark Nexus zich alleen nog door een brute force aanval uit te voeren op het Telnet-protocol. Dit "laaghangende fruit" levert met de laagste kosten en minste moeite het grootste aantal geïnfiltreerde apparaten op.
De woordenlijst die wordt gebruikt bij het brute forcen bevat niet meer dan 50 inloggegevens, waarvan de meest voorkomende standaard combinaties zijn ingesteld: root/1234, default/default, admin/4321, etc. Als eenmaal een IoT-apparaat in het botnet is opgenomen, probeert Dark Nexus het apparaat aan te houden door reboot te voorkomen (in de vroege versie van de malware), of door ervoor te zorgen dat een set commando's wordt uitgevoerd na de opstarttijd.
