A Microsoft interrompe o maior ataque DDoS já visto na nuvem.

O ataque de negação de serviço (DDoS) detectado na nuvem da Microsoft em 24 de outubro foi neutralizado, informou a desenvolvedora do sistema operacional Windows nesta segunda-feira.

De acordo com o blog da Microsoft, o ataque DDoS teve como alvo um único ponto de acesso na Austrália e atingiu 15,72 terabits por segundo (Tbps) e quase 3,64 bilhões de pacotes por segundo (pps).

O ataque foi tracaté uma botnet de Internet das Coisas (IoT) da classe TurboMirai, conhecida como AISURU, que a empresa de segurança Krebson descobriu ter comprometido os provedores de serviços de internet dos EUA AT&T, Verizon e Comcast por quase um ano. 

A Microsoft não revelou a identidadedentalvo, mas confirmou que suas defesas automatizadas neutralizaram o ataque antes que qualquer interrupção significativa ocorresse.

AISURU poderia ter executado ataques que quebraram recordes.

De acordo com a análise publicada pela Microsoft, o ataque se baseou em inundações UDP de altíssima taxa direcionadas a um endereço IP público específico. "O ataque envolveu inundações UDP de altíssima taxa, visando um endereço IP público específico, lançadas a partir de mais de 500.000 IPs de origem em diversas regiões", explicou Sean Whalen, Gerente Sênior de Marketing de Produto do Azure Security.

Os analistas da Azure escreveram que foram utilizadas técnicas mínimas de falsificação de origem e portas de origem aleatórias para simplificar trace permitir que os provedores de serviços de internet (ISPs) implementassem medidas de mitigação de forma eficaz.

O AISURU explora roteadores domésticos, câmeras e sistemas DVR comprometidos em provedores de internetdentnos Estados Unidos e em outros países. A QiAnXin XLab estima que a botnet controle quase 300.000 dispositivos infectados. 

“Os proprietários da Aisuru estão constantemente vasculhando a internet em busca desses dispositivos vulneráveis ​​e os escravizando para uso em ataques de negação de serviço distribuídos (DDoS) que podem sobrecarregar os servidores visados ​​com quantidades debilitantes de tráfego indesejado”, observaram os pesquisadores da KrebsOnSecurity.

A Netscout, empresa americana de AIOps e tecnologia, também descobriu que a AISURU opera com uma clientela restrita para evitar governos, militares e forças policiais. A maioria dos ataques observados está ligada a plataformas de jogos online, onde o alto volume de tráfego pode causar interrupções colaterais em outras redes.

“Os ataques DDoS de saída e de cruzamento podem ser tão disruptivos quanto os de entrada. Atualmente, estamos em uma situação em que os provedores de internet estão rotineiramente recebendo ataques de saída de mais de um terabit por segundo em suas redes, o que pode causar problemas operacionais”, concluiu Roland Dobbins, engenheiro da Netscout.

Whalen, da Azure, também mencionou que a botnet facilita o preenchimento de credenciaisdenta extração de dados da web orientada por IA, o envio de spam, o phishinge opera umdent, com ataques que excedem 20 Tbps.

Danos ao botnet AISURU em 2025 até agora

Em maio, o blog de cibersegurança KrebsOnSecurity relatou um ataque de quase 6,35 Tbps, que foi neutralizado pelo Project Shield do Google. O grupo AISURU, então, ultrapassou o recorde com um ataque de 11 Tbps nos meses seguintes e, no final de setembro, os ataques já haviam atingido mais de 22 Tbps. 

a botnet enviou 29,6 Tbps de dados aleatórios para um servidor dedicado à medição de tráfego DDoS extremo. reportagem do jornalista de segurança Brian Krebs, 

Steven Ferguson, engenheiro de segurança principal da Global Secure Layer (GSL) em Brisbane, afirmou que o TCPShield, um serviço de proteção contra DDoS que dá suporte a mais de 50.000 servidores de Minecraft, foi atingido por mais de 15 Tbps de dados indesejados em 8 de outubro. 

“Isso causou sérios congestionamentos em seus portos externos de Miami por várias semanas, o que foi mostrado publicamente por meio de seu mapa meteorológico”, disse Ferguson.

O ataque causou congestionamento significativo nas portas de Miami do provedor upstream OVH, não deixando à empresa outra opção senão encerrar o serviço para o TCPShield. No entanto, ele revelou que a rede agora está totalmente protegida pelos serviços de segurança da GSL, uma assinatura que provedores de internet menores podem não ter orçamento para pagar.

Embora os ataques DDoS visem principalmente redes de jogos online, o volume de tráfego malicioso afeta serviços não relacionados e a conectividade na área circundante. A maioria das organizações não possui recursos para resistir a esses ataques, pois carece de ferramentas de mitigação especializadas que possam protegê-las da exposição e dos danos.

A divulgação da informação pela Microsoft surge na sequência da reportagem da Netscout sobre o Eleven11, também conhecido como RapperBot, outra botnet de IoT da classe TurboMirai. Estima-se que, entre o final de fevereiro e agosto, o Eleven11 tenha lançado aproximadamente 3.600 ataques DDoS.

Alguns dos servidores de comando e controle (C2) do Eleven11 estavam registrados no domínio de nível superior (TLD) “.libre”, parte do OpenNIC, uma raiz DNS alternativadent da ICANN. A análise do malware também revelou que a botnet utilizava domínios genéricos de nível superior da ICANN (.live e .info), com os IPs dos servidores C2 criptografados nos registros. 

A Netscout citou exemplos de 2024 mostrando que o código-fonte do Eleven11 havia amadurecido a ponto de reconfigurar dinamicamente a infraestrutura de C2 usando nomes de domínio em vez de IPs fixos.