Cloudflare bloqueia ataque DDoS recorde de 11.5 Tbps

A Cloudflare anunciou na última terça-feira que bloqueou automaticamente um ataque de negação de serviço distribuído (DDoS) volumétrico recorde, que atingiu o pico de 11.5 terabits por segundo (Tbps). O incidente, que durou apenas cerca de 35 segundos, é o mais recente de uma série de ataques massivos que a empresa tem mitigado.

"Nas últimas semanas, bloqueamos de forma autônoma centenas de ataques DDoS hipervolumétricos, com os maiores atingindo picos de 5,1 bilhões de pacotes por segundo (Bpps) e 11,5 Tbps", comunicou a empresa de infraestrutura web e segurança. Segundo a Cloudflare, o ataque de 11,5 Tbps foi uma inundação de tráfego UDP, vindo de várias fontes, incluindo a Google Cloud.

Ataques DDoS volumétricos são projetados para sobrecarregar um alvo com um volume gigantesco de tráfego, causando lentidão ou até mesmo a queda do serviço. Esse tipo de ataque geralmente resulta em congestionamento de rede, perda de pacotes e interrupções no serviço.

Essas ofensivas são frequentemente conduzidas por botnets, redes de dispositivos — como computadores, dispositivos de internet das coisas (IoT) e outras máquinas — que foram infectados com malware e estão sob o controle de hackers. A empresa de segurança Akamai alerta que, além de causar interrupções, esses ataques podem servir como "cortina de fumaça" para que os invasores lancem ataques mais sofisticados, como roubo de dados ou transferências de fundos ilícitas.

A revelação sobre o ataque vem logo após a Cloudflare ter anunciado, em julho de 2025, que os ataques DDoS hipervolumétricos — que excedem 1 bilhão de pacotes por segundo (Bpps) ou 1 Tbps — dispararam no segundo trimestre de 2025. O número de ataques escalou para 6.500, em comparação com 700 no primeiro trimestre.

A empresa de segurança cibernética Bitsight detalhou recentemente a cadeia de ataque da botnet RapperBot, que tem como alvo gravadores de vídeo em rede (NVRs) e outros dispositivos IoT para alistá-los em uma botnet capaz de realizar ataques DDoS. A infraestrutura da botnet foi desmantelada no mês passado como parte de uma operação policial.

No ataque documentado, os hackers exploravam falhas de segurança em NVRs para obter acesso inicial. Eles usavam uma falha de "caminho de travessia" no servidor web para vazar credenciais de administrador válidas e, em seguida, usavam-nas para enviar uma atualização de firmware falsa que executava um conjunto de comandos para montar e rodar o binário do RapperBot.

O malware, por sua vez, obtinha a lista de endereços IP dos servidores de comando e controle (C2) a partir de registros DNS TXT. Em seguida, estabelecia uma conexão criptografada para receber as instruções necessárias para lançar os ataques DDoS. O malware também pode ser comandado para escanear a internet em busca de portas abertas e se propagar ainda mais.

"A metodologia deles é simples: escanear a internet em busca de dispositivos de borda antigos (como DVRs e roteadores), forçar a entrada ou explorar falhas para fazê-los executar o malware da botnet", explicou a Bitsight. "Nenhuma persistência é realmente necessária, apenas escanear e infectar, de novo e de novo. Isso acontece porque os dispositivos vulneráveis continuam expostos por aí, e estão mais fáceis de encontrar do que nunca."

Em uma nota de acompanhamento, a Cloudflare esclareceu que o ataque de 11,5 Tbps, na verdade, veio de uma combinação de vários provedores de IoT e de nuvem, e que a Google Cloud foi apenas uma das muitas fontes. Um porta-voz da Google afirmou que suas defesas de abuso detectaram o ataque e que eles seguiram o protocolo adequado de notificação ao cliente e resposta. "Relatórios iniciais sugerindo que a maioria do tráfego veio da Google Cloud não são precisos", concluiu o porta-voz.

Via - THN