Azure é alvo de ataque DDoS de 15 Tbps com 500 mil IPs

 (bleepingcomputer.com)
2 pontos por GN⁺ 2025-11-18 | 1 comentários | Compartilhar no WhatsApp
  • A botnet Aisuru realizou um ataque DDoS em larga escala de 15,72 Tbps contra a rede da Microsoft Azure
  • O ataque partiu de mais de 500 mil endereços IP e assumiu a forma de um UDP flood contra um IP público específico na Austrália, chegando a 3,6 bilhões de pacotes por segundo
  • A Aisuru é uma botnet IoT da linhagem Turbo Mirai, que se espalha por redes de ISP em vários países, incluindo os EUA, explorando roteadores residenciais e câmeras
  • Casos anteriores de ataque analisados pela Cloudflare e pela Qi’anxin também confirmaram o envolvimento da mesma botnet em ataques na faixa de 11,5 Tbps a 22,2 Tbps
  • O caso evidencia a expansão contínua da ameaça de DDoS em larga escala baseada em IoT em toda a infraestrutura de nuvem

Visão geral do ataque DDoS de 15,72 Tbps contra a Azure

  • A Microsoft anunciou que a botnet Aisuru realizou um ataque DDoS de 15,72 Tbps contra a rede da Azure

    • O ataque partiu de mais de 500 mil endereços IP
    • O tipo de ataque foi um UDP flood de alta velocidade, direcionado a um IP público específico na Austrália
    • O tráfego chegou a cerca de 3,64 bilhões de pacotes por segundo (bpps)

  • Sean Whalen, da equipe de segurança da Microsoft Azure, explicou que a Aisuru é uma botnet IoT de nível Turbo Mirai que
    causa ataques em larga escala ao infectar roteadores residenciais e câmeras

    • Ela se espalha principalmente por redes residenciais de ISP nos EUA e em outros países

  • O tráfego do ataque teve quase nenhuma falsificação de origem e usou portas de origem aleatórias

    • Isso facilitou o rastreamento (traceback) e as medidas de bloqueio pelos provedores

Atividades anteriores da botnet Aisuru

  • A Cloudflare reportou em setembro de 2025 que a mesma botnet Aisuru causou um ataque DDoS de 22,2 Tbps

    • Ele chegou a 10,6 bilhões de pacotes por segundo e durou cerca de 40 segundos
    • Isso equivale ao tráfego de 1 milhão de vídeos 4K em streaming simultâneo

  • O XLab, da empresa chinesa de segurança Qi’anxin, analisou um ataque de 11,5 Tbps como obra da botnet Aisuru

    • Na época, cerca de 300 mil bots estavam sob controle

Vetores de infecção e propagação

  • A Aisuru explora vulnerabilidades de segurança em câmeras IP, DVR/NVR, chips Realtek e roteadores
    • Entre os fabricantes visados estão T-Mobile, Zyxel, D-Link e Linksys
  • Em abril de 2025, cerca de 100 mil dispositivos adicionais foram infectados por meio do comprometimento do servidor de atualização de firmware de roteadores TotoLink
    • Depois desse ponto, a escala da botnet cresceu rapidamente

Resposta e impacto na Cloudflare

  • O jornalista de segurança Brian Krebs reportou que a Cloudflare removeu domínios ligados à Aisuru
    de seu ranking “Top Domains”
    • Esses domínios estavam ficando acima de sites legítimos como Amazon, Microsoft e Google, distorcendo a classificação
  • A Cloudflare explicou que operadores da Aisuru enviaram em massa consultas maliciosas ao serviço de DNS (1.1.1.1)
    para inflar artificialmente a popularidade dos domínios
    • O CEO Matthew Prince afirmou que isso distorceu gravemente o sistema de ranking
    • Depois disso, a Cloudflare adotou uma política de ocultação de domínios suspeitos

Tendência de aumento dos ataques DDoS

  • Segundo o relatório de DDoS do 1º trimestre de 2025 da Cloudflare
    • O volume de ataques registrado aumentou 358% em relação ao ano anterior e 198% em relação ao trimestre anterior
    • Em todo o ano de 2024, foram bloqueados 21,3 milhões de ataques contra clientes e 6,6 milhões contra a própria infraestrutura da empresa
    • Parte deles foi identificada como uma campanha de ataques multivetor que durou 18 dias

Resumo

  • A botnet Aisuru cresceu como uma infraestrutura de ataques DDoS gigantescos por meio da infecção de dispositivos IoT
  • Grandes provedores de nuvem, como Microsoft Azure e Cloudflare, defenderam-se de alguns dos maiores ataques já registrados
  • Trata-se de uma ameaça complexa que combina distorção de serviços DNS, exploração de vulnerabilidades em IoT e explosão global de tráfego
  • O caso mostra a necessidade de reforço contínuo dos sistemas de defesa para provedores de nuvem e de rede

Leituras relacionadas

1 comentários

 
GN⁺ 2025-11-18
Opiniões no Hacker News

  • É interessante que a botnet de DDoS Aisuru evite governos e instituições militares e mire principalmente jogos online
    Mas eu realmente não entendo por que alguém pagaria para derrubar servidores de jogos. Fico me perguntando o que se ganha impedindo as pessoas de jogar por algumas horas
    Post de blog relacionado

    • No fim, o motivo é raiva e desejo de poder. É a mentalidade de “se eu não posso, ninguém pode”, e às vezes chegam a chantagear os operadores do servidor exigindo privilégios de moderador
      Em outros casos, o objetivo é atacar servidores concorrentes para monopolizar a receita da venda de itens pagos ou ranks
    • Apostas em eSports são um grande motivo. Houve inclusive casos em torneios de Fortnite em que DDoS foi usado para colocar concorrentes em desvantagem
    • Alguns querem manipular o mercado dentro do jogo. Em jogos com moeda ou itens negociáveis, uma interrupção do servidor afeta os preços
      Em outros casos, pode ser para atrapalhar eventos ou torneios, ou simplesmente trolling por rancor contra os desenvolvedores
    • Talvez um motivo ainda maior nem seja o jogo em si, mas a concorrência entre sites de apostas. Se você derruba o site rival por algumas horas, muito dinheiro muda de mãos
      Um vídeo recente do CoffeeZilla também mencionou o comportamento estranho desses cassinos gamer
    • Repetindo: isso acontece porque o mercado de apostas em eSports é enorme

  • Pelas matérias relacionadas, a botnet Aisuru continua evoluindo, sendo removida da lista de domínios principais da Cloudflare ou migrando para proxies residenciais

  • Em abril de 2025, houve um incidente em que o servidor de firmware da TotoLink foi comprometido e 100 mil roteadores foram infectados
    Projetos open source como o OpenWRT são ótimos, mas fico pensando quem protege a segurança desses servidores. Será que assinaturas digitais resolveriam isso?

    • O OpenWRT protege firmware e pacotes com assinaturas digitais. Também é possível verificar a assinatura manualmente antes da atualização
      Mas se a infecção acontecer depois do build e antes da assinatura, ainda é possível causar danos em larga escala, então builds reproduzíveis (reproducible builds) são importantes
      Documento de segurança do OpenWRT
    • Na prática, empresas privadas também investem só o mínimo em equipe de segurança. Muitas vezes, roteadores comerciais são ainda mais vulneráveis
    • Por isso o OpenWRT deixa atualizações automáticas desativadas por padrão
    • Repositórios open source são observados por centenas de pessoas, enquanto servidores de build corporativos às vezes mal são vistos por uma ou duas
    • Alguém apontou que essa discussão pode ser apenas uma fala que desvia do ponto central, no estilo “mas e a segurança?”

  • DDoS costuma ser usado para distrair a atenção da equipe de segurança. Em meio ao caos, um ataque mais furtivo pode acontecer

    • Mas há dúvida se isso acontece “com frequência”. Como as equipes não aliviam as configurações de segurança durante uma resposta a DDoS, talvez não seja uma estratégia tão eficiente
    • É interessante que a Microsoft tenha recebido um ataque recorde sem que houvesse nenhuma latência perceptível no serviço. Também teve a piada de que talvez o serviço já fosse lento e ninguém percebeu

  • IoT continua sendo uma onda de dispositivos com segurança precária. Precisamos de algo melhor

    • Se os ISPs restringirem os roteadores que os clientes podem usar, a segurança pode melhorar, mas preocupa a perda de liberdade
    • Como diz a piada “o S de IoT é de Security”, o problema é estruturalmente a ausência de segurança
    • À frase “precisamos de algo melhor”, houve também a resposta cínica: “antes disso vai vir uma onda ainda maior”
    • Há também a análise de que a política europeia de atualizações automáticas de segurança obrigatórias acabou, paradoxalmente, ajudando a espalhar botnets. Se o servidor de atualização for comprometido, centenas de milhares de dispositivos podem ser infectados ao mesmo tempo

  • Tentei acessar o blog e apareceu um erro de proxy. Ironicamente, parece que o post sobre o tema foi bloqueado por DDoS

  • Não entendo por que não existe uma agência internacional dedicada ao combate ao cibercrime. Isso poderia impedir esse tipo de atividade maliciosa

    • É inviável por causa de questões de soberania nacional e interesses políticos. Alguns países até se beneficiam desse tipo de crime
    • Na prática, investigações com cooperação internacional já acontecem de forma contínua. Mas, por causa das restrições políticas, mesmo que surgisse uma nova agência, talvez pouca coisa mudasse
    • Organizações existentes como a ONU também não conseguiram impedir completamente guerras, tráfico humano e lavagem de dinheiro. Ainda assim, seria melhor do que um cenário totalmente sem lei, embora haja limites
    • China e Rússia querem ver o fracasso do Ocidente. Nesse contexto, é difícil esperar cooperação
    • Como na piada “Team America, World Police?”, mesmo que existisse uma polícia internacional, seria preciso uma abordagem mais focada em prevenção do que em dissuasão
      Por exemplo, um tratado que torne obrigatórios padrões de segurança poderia reduzir a quantidade de roteadores de consumo vulneráveis e encolher o próprio mercado de DDoS
      Mas como os criminosos atacam os fracos, não os fortes, isso acaba recebendo pouca atenção social

  • É uma pena ver tanta gente com tantos nós à disposição sem pensar em criar algo tecnicamente incrível, usando tudo isso apenas para alimentar o próprio ego
    Daria para construir redes como o Tor ou até sistemas de arquivo distribuídos, então é triste ver esse potencial ser desperdiçado no crime

  • Vem à cabeça a pergunta “quem se beneficia (Cui bono)?”. Fico em dúvida se um ataque tão grande realmente vale a pena. Será que existe alguma extorsão por trás disso?

    • Na prática, o custo é quase zero. Há meses eles vêm atacando aleatoriamente coisas como servidores de Minecraft

  • É estranho que o ataque tenha mirado apenas um endpoint na Austrália. Por que usar o maior DDoS do mundo logo ali?
    Se havia CDN, deve existir redundância, então fica a dúvida: quem pagou por isso e o que ganhou?

    • DDoS não é sinal, é ruído. O objetivo pode ser cobrir os logs para esconder o verdadeiro alvo. APT28/29 usa esse tipo de estratégia
    • Ou pode ter sido simplesmente briga pessoal entre gamers australianos. Teve até a piada de que “o Simmo ficou puto porque o Jonno terminou com a irmã dele”
    • Na realidade, esse tipo de ataque acontece todos os dias e, na maioria das vezes, é bloqueado por soluções de defesa como o Cloudflare Magic Transit.
      A opinião é que não vale a pena tentar encontrar um significado profundo nisso