Microsoft informa haber desmantelado el mayor ataque DDoS a la nube de la historia.
El ataque de denegación de servicio (DDoS) detectado en la nube de Microsoft el 24 de octubre ha sido neutralizado, según informó el lunes el desarrollador del sistema operativo Windows.
Según el blog de Microsoft, el ataque DDoS tuvo como objetivo un único punto final en Australia y alcanzó los 15,72 terabits por segundo (Tbps) y casi 3,64 mil millones de paquetes por segundo (pps).
El ataque se traca una botnet de Internet de las Cosas (IoT) de clase TurboMirai conocida como AISURU, que la empresa de seguridad Krebson descubrió que había comprometido a los proveedores de servicios de Internet estadounidenses AT&T, Verizon y Comcast durante casi un año.
Microsoft no reveló la dent del objetivo, pero confirmó que sus defensas automatizadas neutralizaron el ataque antes de que se produjera alguna interrupción significativa.
AISURU podría haber ejecutado ataques que batieron récords.
Según el análisis publicado por Microsoft, el ataque se basó en inundaciones UDP de altísima frecuencia dirigidas a una dirección IP pública específica. «El ataque consistió en inundaciones UDP de altísima frecuencia dirigidas a una dirección IP pública específica, lanzadas desde más de 500 000 direcciones IP de origen en diversas regiones», explicó Sean Whalen, gerente sénior de marketing de producto de Azure Security.
Los analistas de Azure escribieron que se utilizó una suplantación de origen mínima y puertos de origen aleatorios para simplificar trac y permitir a los ISP aplicar medidas de mitigación de manera efectiva.
AISURU explota vulnerabilidades en routers domésticos, cámaras y sistemas DVR de proveedores de internetdenten Estados Unidos y otros países. QiAnXin XLab estima que la botnet controla cerca de 300.000 dispositivos infectados.
“Los propietarios de Aisuru escanean continuamente Internet en busca de estos dispositivos vulnerables y los esclavizan para utilizarlos en ataques de denegación de servicio distribuido (DDoS) que pueden sobrecargar los servidores objetivo con cantidades paralizantes de tráfico basura”, señalaron los investigadores de KrebsOnSecurity.
La empresa estadounidense de tecnología y operaciones de IA, Netscout, también descubrió que AISURU operaba con una clientela restringida para evitar al gobierno, al ejército y a las fuerzas del orden. La mayoría de los ataques observados están vinculados a plataformas de juegos en línea, donde el alto volumen de tráfico puede provocar interrupciones colaterales en otras redes.
“Los ataques DDoS salientes y cruzados pueden ser tan perjudiciales como los entrantes. Actualmente nos encontramos en una situación en la que los ISP sufren habitualmente ataques salientes de más de un terabit por segundo desde sus redes, lo que puede provocar problemas operativos”, concluyó Roland Dobbins, ingeniero de Netscout.
Whalen, de Azure, también mencionó que la botnet facilita dent , el web scraping impulsado por IA, el spam, el phishing y opera un dent , con ataques que superan los 20 Tbps.
Daños de la botnet AISURU en 2025 hasta ahora
En mayo, el blog de ciberseguridad KrebsOnSecurity informó de un ataque casi récord de 6,35 Tbps que fue contrarrestado por el Proyecto Shield de Google. AISURU superó el récord con un ataque de 11 Tbps en los meses siguientes, y a finales de septiembre, los ataques habían superado los 22 Tbps.
La botnet envió 29,6 Tbps de datos basura a un servidor dedicado a medir el tráfico DDoS extremo, según un informe del periodista de seguridad Brian Krebs.
Steven Ferguson, ingeniero principal de seguridad de Global Secure Layer (GSL) en Brisbane, dijo que TCPShield, un servicio de protección DDoS que da soporte a más de 50.000 servidores de Minecraft, fue atacado con más de 15 Tbps de datos basura el 8 de octubre.
“Esto estuvo causando una grave congestión en sus puertos externos de Miami durante varias semanas, como se mostró públicamente a través de su mapa meteorológico”, dijo Ferguson.
El ataque provocó una congestión significativa en los puertos de Miami del proveedor de internet OVH, lo que obligó a la empresa a suspender el servicio a TCPShield. Sin embargo, reveló que la red ahora está totalmente protegida por los servicios de seguridad de GSL, una suscripción que los proveedores de internet más pequeños tal vez no puedan costear.
Aunque los ataques DDoS se dirigen principalmente a las redes de juegos en línea, el volumen de tráfico malicioso afecta a otros servicios y a la conectividad en la zona. La mayoría de las organizaciones no cuentan con los recursos necesarios para resistir estos ataques, ya que carecen de herramientas de mitigación especializadas que las protejan de la exposición y los daños.
La revelación de Microsoft se produce poco después del informe de Netscout sobre Eleven11, también conocido como RapperBot, otra botnet de IoT de la clase TurboMirai. Se estima que entre finales de febrero y agosto, Eleven11 lanzó aproximadamente 3600 ataques DDoS.
Algunos de los servidores de comando y control (C2) de Eleven11 estaban registrados bajo el dominio de nivel superior (TLD) «.libre», perteneciente a OpenNIC, un servidor DNS alternativodent de la ICANN. El análisis del malware también reveló que la botnet utilizaba dominios de nivel superior genéricos de la ICANN (.live e .info), con las direcciones IP de los servidores C2 cifradas en los registros.
Netscout citó muestras de 2024 que mostraban que el código fuente de Eleven11 había madurado hasta el punto de reconfigurar dinámicamente la infraestructura C2 utilizando nombres de dominio en lugar de direcciones IP codificadas.
¿Quieres que tu proyecto esté presente en las mentes más brillantes del mundo de las criptomonedas? Preséntalo en nuestro próximo informe del sector, donde los datos se combinan con el impacto.
Artículos Recomendados
