Microsoft dijo el lunes que detectó y neutralizó automáticamente un ataque de denegación de servicio distribuido (DDoS) dirigido a un único punto final en Australia. La escala del ataque fue de 5,72 terabits por segundo (Tbps), o aproximadamente 3,64 mil millones de paquetes por segundo (pps).
El gigante tecnológico dijo que este era el mayor ataque DDoS jamás observado en la nube, y que se originó a partir de una Internet de las cosas de clase TurboMirai (botnet de IoT conocida como AISURU; actualmente no está claro quién fue el objetivo del ataque).
«Este ataque implicó una inundación UDP de muy alta velocidad dirigida a direcciones IP públicas específicas y se lanzó desde más de 500.000 IP de origen en varias geografías», dijo Sean Whalen de Microsoft.
«Estas ráfagas UDP repentinas minimizaron la suplantación de origen y utilizaron puertos de origen aleatorios, simplificando los rastreos y facilitando la aplicación de la ley por parte de los proveedores».
Según datos de QiAnXin XLab, la botnet AISURU tiene casi 300.000 dispositivos infectados, la mayoría de los cuales son enrutadores, cámaras de seguridad y sistemas DVR. Se cree que este es uno de los ataques DDoS más grandes jamás registrados. En un informe publicado el mes pasado, NETSCOUT clasificó las botnets de alquiler DDoS como que operan contra clientes restringidos.
«Según se informa, los transportistas están tomando precauciones para evitar ataques al gobierno, las fuerzas del orden, el ejército y otros activos de seguridad nacional», dijo la compañía. «La mayoría de los ataques de Aisuru observados hasta la fecha parecen estar relacionados con los juegos en línea».
Más allá de los ataques DDoS de más de 20 Tbps, las botnets como AISURU también permiten capacidades versátiles que facilitan otras actividades ilegales como el relleno de credenciales, el web scraping con inteligencia artificial (IA), el spam y el phishing. AISURU también incorpora servicios de agencia de vivienda.
«Los atacantes están escalando para igualar la propia Internet. A medida que aumentan las velocidades de fibra hasta el hogar y los dispositivos IoT se vuelven más potentes, la base para el tamaño del ataque continúa aumentando», dijo Microsoft.
La divulgación se produjo cuando NETSCOUT detalló otra botnet TurboMirai llamada Eleven 11 (también conocida como RapperBot) que se estima que lanzó aproximadamente 3.600 ataques DDoS utilizando dispositivos IoT secuestrados entre finales de febrero y agosto de 2025, aproximadamente al mismo tiempo que las autoridades revelaron el arresto y desmantelamiento de la botnet.
Algunos de los servidores de comando y control (C2) asociados a esta botnet están registrados en el dominio de nivel superior (TLD) «.libre». Es parte de OpenNIC, una raíz DNS alternativa que opera independientemente de ICANN y ha sido adoptada por otras botnets DDoS como CatDDoS y Fodcha.
«Aunque es probable que la botnet ya no esté operativa, los dispositivos comprometidos siguen siendo vulnerables», dice el informe. «Parece ser sólo cuestión de tiempo antes de que el host sea secuestrado nuevamente y reclutado como un nodo comprometido en la próxima botnet».
Source link
