Nel mese di maggio 2025, il panorama della sicurezza informatica ha registrato un nuovo record negativo con un attacco DDoS senza precedenti che ha raggiunto i 7.3 terabit per secondo, colpendo un importante provider di hosting. L’attacco, bloccato autonomamente da Cloudflare, ha trasferito la straordinaria quantità di 37.4 terabyte di dati in soli 45 secondi, segnando così un importante punto di svolta nella difesa contro i DDoS ad alta volumetria.

Negli ultimi mesi: escalation degli attacchi DDoS

Negli ultimi mesi, i provider di hosting e le infrastrutture critiche di Internet sono diventati bersagli privilegiati per attacchi DDoS di ampia scala. Già a gennaio, Cloudflare aveva mitigato un attacco da 5.6 Tbps diretto a un provider asiatico, proveniente da una variante della botnet Mirai. In aprile, la società ha difeso con successo da una tempesta di 6.5 Tbps generata da una botnet chiamata Eleven11bot, composta da circa 30.000 dispositivi tra webcam e videoregistratori.

Caratteristiche dell’attacco record di maggio 2025

Il recente attacco da 7.3 Tbps si è caratterizzato per la tecnica del carpet bombing, colpendo in media 21.925 porte di destinazione su un singolo indirizzo IP della vittima, con picchi fino a 34.517 porte al secondo. Si è trattato di un attacco multivettoriale che ha combinato diverse forme di riflessione e amplificazione, inclusi UDP flood (responsabile del 99.996% del traffico), QOTD, echo, NTP, Mirai UDP, portmap flood e RIPv1 amplification. L’offensiva ha coinvolto oltre 122.000 indirizzi IP sorgente distribuiti su 5.433 sistemi autonomi in 161 Paesi, con i volumi maggiori provenienti da Brasile, Vietnam, Taiwan, Cina, Indonesia e Stati Uniti.

Il report evidenzia come ISP e operatori di telecomunicazione come Telefonica Brazil e Viettel Group abbiano contribuito rispettivamente al 10.5% e 9.8% del traffico malevolo, seguiti da China Unicom e Chunghwa Telecom.

Nuove minacce: RapperBot e l’estorsione tramite DDoS

Parallelamente, il team QiAnXin XLab ha reso noto che la botnet RapperBot è stata protagonista di un attacco contro una società di intelligenza artificiale nel febbraio 2025. Le nuove varianti di questo malware tentano anche di estorcere denaro alle vittime, minacciando nuovi attacchi DDoS in caso di mancato pagamento di una “tassa di protezione”. RapperBot, attiva dal 2022, infetta router, dispositivi NAS e videoregistratori sfruttando password deboli e vulnerabilità firmware, utilizzando la crittografia per comunicare con i server di comando e controllo.

Questi eventi confermano che gli attacchi DDoS stanno evolvendo sia in dimensioni sia in complessità, spingendo le aziende a rafforzare le proprie difese contro minacce sempre più sofisticate.