Cloudflare dijo el martes que mitigó automáticamente un ataque de negación de servicio (DDoS) volumétrico que establece récords que alcanzó su punto máximo en 11.5 terabits por segundo (TBP).
«En las últimas semanas, hemos bloqueado de forma autónoma a cientos de ataques DDoS hiper-volumétricos, con los picos más grandes de 5.1 BPP y 11.5 TBP,» la compañía de infraestructura web y la compañía de seguridad dijo en una publicación sobre X. «El ataque de 11.5 TBPS fue una inundación UDP que principalmente vino de Google Cloud».
Todo el ataque duró solo unos 35 segundos, y la compañía declaró que «las defensas han estado trabajando horas extras».
Los ataques DDoS volumétricos están diseñados para abrumar a un objetivo con un tsunami de tráfico, lo que hace que el servidor disminuya la velocidad o incluso falle. Estos ataques generalmente dan como resultado congestión de la red, pérdida de paquetes e interrupciones del servicio.
Dichos ataques a menudo se realizan enviando las solicitudes de Botnets que ya están bajo el control de los actores de amenaza después de haber infectado los dispositivos, ya sean computadoras, dispositivos IoT y otras máquinas, con malware.
«El impacto inicial de un ataque volumétrico es crear congestión que degrada el rendimiento de las conexiones de red a Internet, los servidores y los protocolos, lo que puede causar interrupciones», dice Akamai en una nota explicativa.
«Sin embargo, los atacantes también pueden usar ataques volumétricos como una cubierta para exploits más sofisticados, a los que nos referimos como ataques de ‘pantalla de humo’. A medida que los equipos de seguridad trabajan diligentemente para mitigar el ataque volumétrico, los atacantes pueden lanzar ataques adicionales (múltiples vectores)) que les permitan penetrar en las defensas de la red de la red para el robo de datos, transferir fondos, acceder a las cuentas altas values, o causar una exposición adicional subreptics.
El desarrollo se produce poco más de dos meses después de que Cloudflare dijo que bloqueó a mediados de mayo de 2025 un ataque DDoS que golpeó un pico de 7.3 TBPS dirigido a un proveedor de alojamiento no identificado.
En julio de 2025, la compañía también dijo que los ataques DDoS hiper-volumétricos: ataques DDoS L3/4 que exceden los mil millones de paquetes por segundo (BPP) o 1 TBPS-se dispararon en el segundo trimestre de 2025, escalando un nuevo máximo de 6,500 en comparación con 700 ataques hiper-volumétricos DDOS en Q1 2025.
El desarrollo se produce cuando Bitsight detalló la cadena Rapperbot Kill, a la que se dirige a las grabadoras de video de la red (NVR) y otros dispositivos IoT para obtenerlos en una botnet capaz de llevar a cabo ataques DDoS. La infraestructura de Botnet fue eliminada el mes pasado como parte de una operación de aplicación de la ley.
En el ataque documentado por la compañía de seguridad cibernética, se dice que los actores de amenaza han explotado fallas de seguridad en NVRS para obtener acceso inicial y descargar la carga útil de Rapperbot de la siguiente etapa al montar un sistema de archivos NFS remoto («104.194.9 (.) 127») y ejecutándola.
Esto se logra mediante una falla de transferencia de ruta en el servidor web para filtrar las credenciales de administrador válidas, y luego usarla para impulsar una actualización de firmware falsa que ejecuta un conjunto de comandos BASH para montar el compartir y ejecutar el binario RapperBot en función de la arquitectura del sistema.
«No es de extrañar que los atacantes elijan usar el montaje de NFS y ejecutar de esa parte, este firmware NVR es extremadamente limitado, por lo que montar NFS es en realidad una opción muy inteligente», dijo el investigador de seguridad Pedro Umbelino. «Por supuesto, esto significa que los atacantes tuvieron que investigar a fondo esta marca y modelar y diseñar una explotación que pudiera funcionar en estas condiciones limitadas».
Posteriormente, el malware obtiene los registros DNS TXT asociados con un conjunto de dominios codificados («Iranistrash (.) Libre» y «Pool.RentCheapcars (.) SBS» para obtener la lista real de direcciones reales de servidor de comandos y controles (C2).
Las direcciones IP C2, a su vez, se asignan a un dominio C2 cuyo nombre de dominio completamente calificado (FQDN) se genera utilizando un algoritmo de generación de dominio simplificado (DGA) que consiste en una combinación de cuatro dominios, cuatro subdominios y dos dominios de niveles (TLDS). Los FQDN se resuelven utilizando servidores DNS codificados.
RapperBot termina estableciendo una conexión encriptada con el dominio C2 con una descripción válida del registro DNS TXT, desde donde recibió los comandos necesarios para iniciar ataques DDOS. El malware también se puede controlar para escanear Internet en busca de puertos abiertos para propagar aún más la infección.
«Su metodología es simple: escanee Internet para obtener dispositivos de borde antiguo (como DVR y enrutadores), fuerza bruta o exploit y haga que ejecuten el malware Botnet», dijo Bitsight. «Realmente no se necesita persistencia, solo escanee e infecte, una y otra vez. Porque los dispositivos vulnerables continúan expuestos por ahí y son más fáciles de encontrar que nunca».