Studie Symantec uvádí, že pachatelé útoků DDoS stále více zneužívají kompromitovaných zařízení IoT v domácích a malých firemních sítích. Tato zařízení uživatelé většinou připojí, nemění u nich přihlašovací údaje ani nastavení a dále je ignorují.
Matthew Bing z Arbor Networks přidává i další důvody, proč jsou zařízení Internetu věcí pro útočníky tak atraktivní: většinou používají nějakou ořezanou verzi Linuxu, takže malware pro ně už bývá k dispozici nebo lze snadno upravit. Navíc ořezaný systém i výpočetní výkon často omezuje i možnosti (nebo samotné spuštění) bezpečnostních řešení. Přitom ale tato zařízení mají obvykle přístup k Internetu bez nějakého omezení šířky pásma nebo filtrování provozu. Výrazným trendem letošního roku má být, že podvodníci kompromitovaná zařízení IoT stále méně používají proti jejich vlastníkům
(Poznámka: Proč? Kompromitovaný směrovač není pro útočníka zajímavý, třeba jako cesta k nasazení bankovního trojana nebo ransomwaru do vedlejšího počítače?), ale naopak k aktivitám směřujícím ven, zejména tvorbě botnetů pro útoky DDoS a jiné škodlivé aktivity. Nedávný průzkum sdružení CZNIC vedl dokonce k závěru, že zařízení určitých typů může být kompromitovaných dokonce většina.
Bezpečnostní expert Bruce Schneier analyzoval poslední DDoS útoky úpulně z jiného pohledu. Soustředil se na akce, které probíhají proti společnostem provozujícím významnou internetovou infrastrukturu. Schneier se domnívá, že jde o jakési testování, přičemž útočníky zajímá, od jakého okamžiku (použitá šířka pásma, množství paketů) začne infrastruktura selhávat. Mohlo by jít o přípravu budoucí dost ničivé akce; Schneier má proto podezření, že jde o aktivity spojené s nějakým státem a přípravu na kybernetickou válku.