Cloudflare dijo el martes que mitigó automáticamente un ataque de invalidez de servicio (DDoS) volumétrico que establece récords que alcanzó su punto mayor en 11.5 terabits por segundo (TBP).
“En las últimas semanas, hemos bloqueado de forma autónoma a cientos de ataques DDoS hiper-volumétricos, con los picos más grandes de 5.1 BPP y 11.5 TBP,” la compañía de infraestructura web y la compañía de seguridad dijo en una publicación sobre X. “El ataque de 11.5 TBPS fue una inundación UDP que principalmente morapio de Google Cloud”.
Todo el ataque duró solo unos 35 segundos, y la compañía declaró que “las defensas han estado trabajando horas extras”.
Los ataques DDoS volumétricos están diseñados para agobiar a un objetivo con un tsunami de tráfico, lo que hace que el servidor disminuya la velocidad o incluso falle. Estos ataques generalmente dan como resultado congestión de la red, pérdida de paquetes e interrupciones del servicio.
Dichos ataques a menudo se realizan enviando las solicitudes de Botnets que ya están bajo el control de los actores de amenaza a posteriori de favor infectado los dispositivos, ya sean computadoras, dispositivos IoT y otras máquinas, con malware.
“El impacto auténtico de un ataque volumétrico es crear congestión que degrada el rendimiento de las conexiones de red a Internet, los servidores y los protocolos, lo que puede causar interrupciones”, dice Akamai en una nota explicativa.
“Sin secuestro, los atacantes igualmente pueden usar ataques volumétricos como una cubierta para exploits más sofisticados, a los que nos referimos como ataques de ‘pantalla de humo’. A medida que los equipos de seguridad trabajan diligentemente para mitigar el ataque volumétrico, los atacantes pueden difundir ataques adicionales (múltiples vectores)) que les permitan penetrar en las defensas de la red de la red para el robo de datos, transferir fondos, aceptar a las cuentas altas values, o causar una exposición adicional subreptics.
El crecimiento se produce poco más de dos meses a posteriori de que Cloudflare dijo que bloqueó a mediados de mayo de 2025 un ataque DDoS que golpeó un pico de 7.3 TBPS dirigido a un proveedor de alojamiento no identificado.
En julio de 2025, la compañía igualmente dijo que los ataques DDoS hiper-volumétricos: ataques DDoS L3/4 que exceden los mil millones de paquetes por segundo (BPP) o 1 TBPS-se dispararon en el segundo trimestre de 2025, escalando un nuevo mayor de 6,500 en comparación con 700 ataques hiper-volumétricos DDOS en Q1 2025.
El crecimiento se produce cuando Bitsight detalló la dependencia Rapperbot Kill, a la que se dirige a las grabadoras de video de la red (NVR) y otros dispositivos IoT para obtenerlos en una botnet capaz de aceptar a extremo ataques DDoS. La infraestructura de Botnet fue eliminada el mes pasado como parte de una operación de aplicación de la ley.
En el ataque documentado por la compañía de seguridad cibernética, se dice que los actores de amenaza han explotado fallas de seguridad en NVRS para obtener acercamiento auténtico y descargar la carga útil de RapperBot de la próxima etapa al costar un sistema de archivos NFS remoto (“104.194.9 (.) 127”) y ejecutándola.
Esto se logra mediante una descompostura de transferencia de ruta en el servidor web para filtrar las credenciales de administrador válidas, y luego usarla para impulsar una aggiornamento de firmware falsa que ejecuta un conjunto de comandos BASH para costar el compartir y ejecutar el binario RapperBot en función de la edificación del sistema.
“No es de sorprender que los atacantes elijan usar el montaje de NFS y ejecutar de esa parte, este firmware NVR es extremadamente circunscrito, por lo que costar NFS es en efectividad una opción muy inteligente”, dijo el investigador de seguridad Pedro Umbelino. “Por supuesto, esto significa que los atacantes tuvieron que investigar a fondo esta marca y modelar y diseñar una explotación que pudiera funcionar en estas condiciones limitadas”.
Seguidamente, el malware obtiene los registros DNS TXT asociados con un conjunto de dominios codificados (“Iranistrash (.) Redimido” y “Pool.RentCheapcars (.) SBS” para obtener la serie existente de direcciones reales de servidor de comandos y controles (C2).
Las direcciones IP C2, a su vez, se asignan a un dominio C2 cuyo nombre de dominio completamente calificado (FQDN) se genera utilizando un operación de gestación de dominio simplificado (DGA) que consiste en una combinación de cuatro dominios, cuatro subdominios y dos dominios de niveles (TLDS). Los FQDN se resuelven utilizando servidores DNS codificados.
RapperBot termina estableciendo una conexión encriptada con el dominio C2 con una descripción válida del registro DNS TXT, desde donde recibió los comandos necesarios para iniciar ataques DDOS. El malware igualmente se puede controlar para escanear Internet en investigación de puertos abiertos para propagar aún más la infección.
“Su metodología es simple: escanee Internet para obtener dispositivos de borde antiguo (como DVR y enrutadores), fuerza bruta o exploit y haga que ejecuten el malware Botnet”, dijo Bitsight. “Verdaderamente no se necesita persistencia, solo escanee e infecte, una y otra vez. Porque los dispositivos vulnerables continúan expuestos por ahí y son más fáciles de encontrar que nunca”.
