Аналитики компании F5 считают, что в дальнейшем тенденция организации DDoS-атак с помощью устройств Интернета вещей будет разрастаться. В Akamai, в свою очередь, отмечают, что с учетом нагрузки, зарегистрированной во время атаки Mirai (до 1 Тбит/с), нужна защитная инфраструктура, способная справиться с «бомбардировками» в три-пять раз более сильными, чем раньше. При этом в Mirai ничего примечательного — он не пытается маскироваться, так как камеры и подобные устройства обычно не проверяют на заражение. Единственная необычная особенность вредоноса — попытки вызвать перегрузку серверов DNS, преобразующих запросы к объекту атаки: серверы отключаются по цепочке, пока легитимный трафик совсем перестанет попадать на атакуемый адрес.
В Mirai жестко закодированы IP-адреса, которые он пропускает при сканировании Интернета на уязвимые устройства: Пентагон, почта США, IANA, а также компании HP и GE. Как сообщают в Akamai, в коде присутствуют слова на русском, но когда Mirai попался компании впервые, трафик сканирования исходил из Китая.