Впервые ботнет IoTroop (он же Reaper), построенный на базе Mirai, был обнаружен в октябре 2017 года. Тогда специалисты предрекли новой угрозе «славу» классического ботнета Mirai. Дело в том, что, по данным Check Point, в состав ботнета еще прошлой осенью входило более миллиона «умных» устройств. Впрочем, с этими расчетами не согласились эксперты компаний Arbor Networks и Netlab 360, заявившие, что настоящее число ботов IoTroop не превышает 10 000 – 20 000.

Как бы то ни было, эксперты были согласны в том, что малварь распространяется через эксплуатацию различных уязвимостей в устройствах D-Link, TP-Link, Avtech, Netgear, MikroTik, Linksys, Synology. Именно это отличает IoTroop  от других IoT-ботнетов, которые, как правило, полагаются лишь на Telnet-сканеры и списки учетных данных по умолчанию.

В январе 2018 года на финансовые учреждения Нидерландов была осуществлена серия DDoS-атак, от которых пострадали такие крупные компании, как ABN Amro и Rabobank. Тогда источник атак выявить не удалось. Теперь же аналитики Recorded Future представили подробный отчет, согласно которому, эти атаки были одним из первых зафиксированных применений ботнета IoTroop.

По подсчетам Recorded Future, мощность атак в пиковые моменты доходила до 30 Гбит/сек, и атакующие использовали амплификацию через DNS. Конечно, эти показатели сложно назвать внушительными, особенно на фоне атак мощностью 1,7 ТБ/сек, зафиксированных в марте текущего года.

Тем не менее, ИБ-специалисты пишут, что ботнет IoTroop серьезно «эволюционировал» с осени прошлого года. Так, в недавно опубликованном докладе Fortinet аналитики отмечали: «эксплоит Reaper _