Azure, atacado con 500 mil IP en un ataque DDoS de 15 Tbps

 (bleepingcomputer.com)
2 puntos por GN⁺ 2025-11-18 | 1 comentarios | Compartir por WhatsApp
  • La botnet Aisuru llevó a cabo un ataque DDoS masivo de 15.72 Tbps contra la red de Microsoft Azure
  • El ataque se originó desde más de 500 mil direcciones IP y tomó la forma de un flood UDP dirigido a una IP pública específica en Australia, alcanzando 3.6 mil millones de paquetes por segundo
  • Aisuru es una botnet IoT de la familia Turbo Mirai que se propaga a través de redes de ISP de varios países, incluido Estados Unidos, abusando de routers domésticos y cámaras
  • En casos de ataques anteriores reportados por Cloudflare y Qi’anxin, se confirmó que la misma botnet estuvo implicada en ataques de entre 11.5 Tbps y 22.2 Tbps
  • Es un caso que evidencia la expansión continua de la amenaza DDoS a gran escala basada en IoT en toda la infraestructura cloud

Resumen del ataque DDoS de 15.72 Tbps contra Azure

  • Microsoft anunció que la botnet Aisuru ejecutó un ataque DDoS de 15.72 Tbps contra la red de Azure

    • El ataque provino de más de 500 mil direcciones IP
    • El tipo de ataque fue un flood UDP de alta velocidad, dirigido a una IP pública específica en Australia
    • El tráfico alcanzó aproximadamente 3.64 mil millones de paquetes por segundo (bpps)

  • Sean Whalen, del equipo de seguridad de Microsoft Azure, explicó que Aisuru es una botnet IoT de nivel Turbo Mirai que
    infecta routers domésticos y cámaras para lanzar ataques a gran escala

    • Se propaga principalmente a través de redes ISP residenciales en Estados Unidos y otros países

  • El tráfico del ataque mostró casi nada de source spoofing y utilizó puertos de origen aleatorios

    • Esto facilitó el traceback y las medidas de bloqueo por parte de proveedores

Actividad previa de la botnet Aisuru

  • Cloudflare informó en septiembre de 2025 que la misma botnet Aisuru provocó un ataque DDoS de 22.2 Tbps

    • Alcanzó 10.6 mil millones de paquetes por segundo y duró unos 40 segundos
    • Esto equivale al tráfico de 1 millón de transmisiones simultáneas de video 4K

  • XLab, de la empresa china de seguridad Qi’anxin, analizó un ataque de 11.5 Tbps como obra de la botnet Aisuru

    • En ese momento se controlaban aproximadamente 300 mil bots

Vía de infección y expansión

  • Aisuru explota vulnerabilidades de seguridad en cámaras IP, DVR/NVR, chips Realtek y routers
    • Entre los fabricantes afectados están T-Mobile, Zyxel, D-Link y Linksys
  • En abril de 2025, unas 100 mil unidades adicionales se infectaron mediante la comprometida del servidor de actualizaciones de firmware de routers TotoLink
    • A partir de ese momento, el tamaño de la botnet se expandió rápidamente

Respuesta e impacto en Cloudflare

  • El periodista de seguridad Brian Krebs informó que Cloudflare eliminó dominios relacionados con Aisuru de su ranking de “Top Domains”
    • Esos dominios estaban distorsionando la clasificación al ubicarse por encima de sitios legítimos como Amazon, Microsoft y Google
  • Cloudflare explicó que los operadores de Aisuru enviaron masivamente consultas maliciosas a su servicio DNS (1.1.1.1) para inflar artificialmente la popularidad de los dominios
    • El CEO Matthew Prince comentó que esto distorsionó gravemente el sistema de rankings
    • Después de eso, Cloudflare introdujo una política para ocultar dominios sospechosos

Tendencia al alza de los ataques DDoS

  • Según el informe DDoS del primer trimestre de 2025 de Cloudflare
    • Se registró un aumento de 358% interanual y de 198% trimestral en el volumen de ataques
    • En todo 2024 se bloquearon 21.3 millones de ataques contra clientes y 6.6 millones contra su propia infraestructura
    • Algunos fueron identificados como campañas de ataques multivector que duraron 18 días

Resumen

  • La botnet Aisuru ha crecido hasta convertirse en una infraestructura de ataques DDoS gigantes basada en la infección de dispositivos IoT
  • Grandes proveedores cloud como Microsoft Azure y Cloudflare han defendido ataques de escala récord
  • Es un patrón de amenaza complejo que combina distorsión de servicios DNS, explotación de vulnerabilidades IoT y explosión del tráfico global
  • Muestra la necesidad de reforzar de forma continua los sistemas de defensa para proveedores cloud y de red

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-11-18
Opiniones en Hacker News

  • Es interesante que la botnet de DDoS Aisuru evite a gobiernos o instituciones militares y apunte principalmente a los juegos en línea
    Pero no entiendo por qué alguien pagaría para tumbar un servidor de juegos. Me pregunto qué ganan con impedir que la gente juegue durante unas horas
    Entrada de blog relacionada

    • Al final, la razón es la ira y el deseo de poder. Es una mentalidad de “si yo no puedo, nadie puede”, y a veces incluso chantajean a los operadores del servidor para exigir permisos de moderador
      En otros casos, el objetivo es atacar servidores rivales para monopolizar las ganancias por venta de ítems de pago o rangos
    • Las apuestas en eSports son una razón importante. De hecho, hubo casos en torneos de Fortnite donde se usó DDoS para poner a competidores en desventaja
    • Algunos buscan la manipulación del mercado dentro del juego. En juegos con monedas o ítems comerciables, una caída del servidor afecta los precios
      En otros casos, puede ser para sabotear eventos o torneos, o simplemente troleo por rencor hacia los desarrolladores
    • Puede que una razón aún mayor que el juego en sí sea la competencia entre sitios de apuestas. Si tumban un sitio rival durante unas horas, entra mucho dinero
      En un video reciente de CoffeeZilla también se mencionó el comportamiento extraño de estos casinos gaming
    • Insisto: esto pasa porque el mercado de apuestas en eSports es demasiado grande

  • Viendo artículos relacionados, parece que la botnet Aisuru sigue evolucionando, por ejemplo siendo eliminada de la lista de dominios principales de Cloudflare o cambiando a proxies residenciales

  • En abril de 2025, hubo un incidente en el que el servidor de firmware de TotoLink fue hackeado y 100 mil routers quedaron infectados
    Los proyectos open source (como OpenWRT) están bien, pero preocupa quién protege la seguridad de los servidores. Me pregunto si eso podría evitarse con firmas digitales

    • OpenWRT protege el firmware y los paquetes con firmas digitales. También se puede verificar la firma manualmente antes de actualizar
      Pero si la infección ocurre después de compilar y antes de firmar, puede haber daños a gran escala, por lo que los reproducible builds son importantes
      Documento de seguridad de OpenWRT
    • En realidad, las empresas privadas también invierten lo mínimo en personal de seguridad. Muchas veces los routers comerciales son todavía más vulnerables
    • Por eso OpenWRT tiene las actualizaciones automáticas desactivadas por defecto
    • Los repositorios open source están vigilados por cientos de personas, pero los servidores de build de una empresa tal vez los revisan una o dos
    • Alguien señaló que esta discusión simplemente desvía el tema con el típico “¿y qué pasa con la seguridad?”

  • El DDoS a menudo se usa para distraer al equipo de seguridad. En medio del caos se lanza un ataque más sigiloso

    • Pero queda la duda de si eso pasa “seguido”. Como durante una respuesta a DDoS no suelen relajarse las configuraciones de seguridad, tal vez no sea una estrategia eficiente
    • Es interesante que, incluso recibiendo un ataque récord, MS no haya tenido ninguna latencia en el servicio. También hubo la broma de que quizá no se notó porque ya era lento de por sí

  • IoT sigue siendo una ola de dispositivos con mala seguridad. Hace falta una mejor solución

    • Si los ISP limitaran los routers que usan sus clientes, la seguridad mejoraría, pero preocupa la pérdida de libertad
    • Como dice la broma de que “la S de IoT es la S de Security”, es un problema estructural donde falta seguridad
    • A la frase “hace falta una mejor solución”, alguien respondió con cinismo que “antes de eso vendrá una ola todavía más grande”
    • También hay análisis que dicen que la política europea que obliga actualizaciones automáticas de seguridad paradójicamente impulsó la expansión de botnets. Si hackean el servidor de actualizaciones, cientos de miles de equipos se infectan al mismo tiempo

  • Intenté entrar al blog y apareció un error de proxy. Irónicamente, parecía que el artículo relacionado estaba bloqueado por DDoS

  • No entiendo por qué no existe una agencia internacional dedicada al cibercrimen. Podría frenar este tipo de actividad maliciosa

    • Es imposible por temas de soberanía nacional e intereses políticos. Algunos países incluso se benefician de estos delitos
    • De hecho, la cooperación internacional en investigaciones ya ocurre de forma constante. Pero por las limitaciones políticas, incluso si se creara una nueva agencia, probablemente no cambiaría mucho
    • Incluso organizaciones existentes como la ONU no han logrado detener por completo la guerra, la trata de personas o el lavado de dinero. Aun así, sería mejor que un vacío total de ley, aunque tiene límites
    • China y Rusia desean el fracaso de Occidente. En esta situación, es difícil esperar cooperación
    • Como en la broma de “Team America, World Police?”, incluso si existiera una policía internacional, haría falta un enfoque más centrado en la prevención que en la disuasión
      Por ejemplo, si se hiciera un tratado que obligue estándares de seguridad, podrían reducirse los routers de consumo vulnerables y se achicaría el propio mercado del DDoS
      Pero como los criminales atacan a los débiles, no a los fuertes, hay poco interés social en el tema

  • Da pena que, teniendo tantos nodos, no piensen en crear tecnología útil y lo usen solo para alimentar su ego
    Podrían construir redes como Tor o sistemas de archivo distribuidos, pero termina desperdiciándose en delitos

  • Surge la pregunta “¿quién se beneficia? (Cui bono)”. Cuesta creer que ataques tan grandes realmente valgan la pena. ¿Habrá tal vez una demanda de rescate escondida?

    • En la práctica, casi no tiene costo. Llevan meses atacando al azar cosas como servidores de Minecraft

  • Es raro que “solo se haya atacado un endpoint en Australia”. ¿Por qué usar allí el DDoS más grande del mundo?
    Si había un CDN, debería haber redundancia, así que da curiosidad quién pagó y qué obtuvo con eso

    • El DDoS no es una señal sino ruido. El objetivo puede ser tapar los logs y ocultar el verdadero blanco del ataque. APT28/29 usa esa estrategia
    • O tal vez solo fue una simple pelea emocional entre gamers australianos. Incluso salió la broma de que “Simmo se enojó porque Jonno terminó con su hermana”
    • En realidad, estos ataques pasan todos los días, y la mayoría se bloquean con soluciones de defensa como Cloudflare Magic Transit.
      La idea es que no hace falta buscarle un significado demasiado profundo