As autoridades canadenses prenderam nesta semana Jacob Butler, de 23 anos, acusado de operar a KimWolf, uma das maiores plataformas de ataques DDoS já identificadas pelas forças de segurança e empresas de cibersegurança. A prisão ocorreu em Ottawa após o Departamento de Justiça dos Estados Unidos emitir um mandado de extradição relacionado à operação da botnet, desmantelada em março durante uma ação internacional coordenada entre Estados Unidos, Canadá, Alemanha e empresas privadas do setor.

Segundo os documentos judiciais divulgados pelo Departamento de Justiça norte-americano, Butler administrava a KimWolf como um serviço de DDoS-for-hire, modelo no qual criminosos alugam infraestrutura maliciosa para executar ataques de negação de serviço contra empresas, organizações e alvos governamentais. O esquema teria comprometido mais de um milhão de dispositivos em todo o mundo, transformando equipamentos conectados à internet em uma gigantesca rede usada para gerar tráfego malicioso em larga escala.

Os ataques DDoS funcionam sobrecarregando servidores e aplicações com enormes volumes de requisições simultâneas, tornando serviços indisponíveis. No caso da KimWolf, os investigadores afirmam que a botnet foi responsável por ataques que chegaram a quase 30 terabits por segundo, considerado um recorde histórico em volume de tráfego DDoS registrado até o momento.

De acordo com os promotores, a infraestrutura da KimWolf teria emitido mais de 25 mil comandos de ataque. Algumas vítimas sofreram prejuízos superiores a US$ 1 milhão, incluindo custos de mitigação, indisponibilidade operacional e pagamentos exigidos por hackers para interromper os ataques.

A investigação aponta que a botnet explorava principalmente dispositivos IoT e equipamentos residenciais conectados à internet, como webcams, caixas de streaming e porta-retratos digitais. Muitos desses dispositivos estavam protegidos atrás de firewalls domésticos, dificultando a identificação da atividade maliciosa por parte dos usuários.

As autoridades afirmam que os operadores da KimWolf vendiam acesso aos dispositivos comprometidos para outros grupos de cibercrime, permitindo o uso da infraestrutura para campanhas diversas. Em pelo menos um dos incidentes investigados, ataques DDoS atingiram endereços IP pertencentes ao Departamento de Defesa dos Estados Unidos.

A derrubada da KimWolf fez parte de uma operação mais ampla que também atingiu outras botnets conhecidas, incluindo Aisuru, JackSkid e Mossad. Durante a ação, investigadores apreenderam servidores, domínios e infraestrutura de comando e controle utilizados pelos operadores dessas plataformas.

O Departamento de Justiça também informou que foram emitidos mandados adicionais contra serviços ligados a outras 45 plataformas de DDoS-for-hire, indicando uma ofensiva mais ampla contra o mercado clandestino de aluguel de ataques cibernéticos.

A Cloudflare vinha monitorando a KimWolf há anos e alertou recentemente que a botnet possuía capacidade suficiente para comprometer infraestruturas críticas, derrubar soluções tradicionais de mitigação DDoS baseadas em nuvem e até causar interrupções de conectividade em escala nacional.

A Amazon também participou da investigação. Em publicação oficial, Tom Scholl, vice-presidente da AWS, afirmou que a empresa colaborou com o FBI e com o Departamento de Defesa dos EUA para identificar a infraestrutura de comando da botnet e realizar engenharia reversa do malware utilizado pelos operadores.

Segundo Scholl, a KimWolf se destacava por explorar redes de proxies residenciais e comprometer dispositivos conectados em ambientes domésticos, ampliando significativamente sua capacidade de ocultação e distribuição global. Esse tipo de arquitetura torna os ataques mais difíceis de bloquear, já que o tráfego malicioso parte de conexões legítimas espalhadas em milhares de residências ao redor do mundo.

Butler foi acusado formalmente de auxiliar invasões computacionais e pode enfrentar até 10 anos de prisão caso seja condenado.