Botnet AISURU/Kimwolf é atribuída a ataque DDoS recorde de 31,4 Tbps, aponta Cloudflare

Um pico de 31,4 Tbps por apenas 35 segundos foi o suficiente para entrar no radar como um dos maiores ataques de negação de serviço (DDoS) já reportados publicamente. A atribuição do tráfego malicioso recai sobre a botnet AISURU/Kimwolf, associada a campanhas recentes de ataques hiper-volumétricos em camada de aplicação e rede.

Contexto

Nos últimos trimestres, provedores de infraestrutura têm observado uma escalada não apenas no volume, mas também na “explosividade” dos ataques DDoS — eventos curtos, muito intensos e difíceis de conter com appliances locais. Esse padrão favorece botnets distribuídas e o uso de redes de proxies residenciais para mascarar origem e automatizar o disparo.

O que aconteceu

Segundo a Cloudflare, o ataque atribuído à AISURU/Kimwolf ocorreu em novembro de 2025 e atingiu um pico de 31,4 terabits por segundo, com duração total de 35 segundos. A empresa afirma ter detectado e mitigado o evento automaticamente, dentro de um conjunto mais amplo de ataques hiper-volumétricos observados no 4º trimestre de 2025.

O ecossistema AISURU/Kimwolf já havia sido relacionado a outras ondas de DDoS, incluindo uma campanha batizada de “The Night Before Christmas” iniciada em dezembro de 2025, com métricas elevadas em pacotes por segundo e solicitações por segundo.

Como funciona/impacto

Em ataques desse tipo, a meta é esgotar capacidade de banda, recursos de rede (camada 3/4) e/ou de processamento de aplicações (camada 7) por meio de um volume massivo de requisições. Mesmo quando o ataque é breve, ele pode:

• derrubar serviços expostos (APIs, e-commerce, portais, autenticação);
• gerar indisponibilidade intermitente e aumento de latência;
• forçar failover, degradar autoscaling e encarecer a operação;
• servir como “cortina de fumaça” para tentativas paralelas de intrusão, fraude ou exploração.

A Cloudflare também reporta crescimento expressivo no volume total de DDoS ao longo de 2025, com um salto relevante no número de ataques em camada de rede e na incidência de eventos hiper-volumétricos no 4º trimestre.

O que observar (detecção)

• picos abruptos de tráfego (bps/pps/rps) em janelas de segundos a minutos, com padrão “serrote”;
• aumento de erros 5xx/timeout e queda de taxa de sucesso em endpoints críticos;
• concentração anormal em rotas específicas (login, busca, checkout, APIs públicas);
• assinaturas de HTTP floods (User-Agent variado, bursts curtos, alto paralelismo);
• pressão em links de borda, balanceadores, WAF/CDN e upstream (BGP/peering);
• origens espalhadas globalmente e tráfego vindo de redes residenciais/proxies.

Mitigação

• revisar postura de proteção DDoS com mitigação “always-on” (CDN/WAF/Anycast) em vez de depender apenas de scrubbing sob demanda;
• aplicar rate limiting e políticas por endpoint (especialmente APIs e autenticação), com desafios progressivos;
• habilitar bot management e detecção comportamental para floods em camada 7;
• dimensionar e testar limites de borda (load balancers, gateways, caches) com exercícios de caos e runbooks;
• integrar telemetria (WAF, CDN, LB, logs de aplicação) e alertas por bps/pps/rps com limiares adaptativos;
• tratar DDoS como incidente: comunicação, métricas de impacto, e validação de que não houve atividade maliciosa “por baixo” do ruído.

Crédito da imagem: The Hacker News (original).

Fonte: The Hacker News | Cloudflare (DDoS Threat Report)