Cloudflare ha recentemente annunciato di aver bloccato in modo automatico un attacco DDoS da record che ha raggiunto un picco di 11,5 terabit al secondo. Questo attacco, della durata di soli 35 secondi, rappresenta una delle più grandi minacce di tipo volumetrico mai registrate, sottolineando la crescente pericolosità degli attacchi DDoS ai danni delle infrastrutture digitali mondiali.

Attacchi DDoS volumetrici: caratteristiche e funzionamento

Gli attacchi DDoS volumetrici sono progettati per sommergere un obiettivo con una quantità enorme di traffico, causando rallentamenti, congestione della rete e, in molti casi, l’interruzione totale del servizio. Questi attacchi sfruttano spesso botnet composte da dispositivi infetti, tra cui computer, dispositivi IoT e altre macchine compromesse tramite malware.

Il caso dell’attacco da 11,5 Tbps

Nel caso specifico, l’attacco da 11,5 Tbps si è manifestato come un UDP flood, inizialmente attribuito a Google Cloud, ma successivamente identificato come proveniente da una combinazione di diversi provider cloud e dispositivi IoT. Cloudflare ha dichiarato che le sue difese sono state messe a dura prova, riuscendo però a bloccare centinaia di attacchi hyper-volumetrici nelle ultime settimane, alcuni dei quali hanno raggiunto anche i 5,1 miliardi di pacchetti al secondo.

Crescita degli attacchi hyper-volumetrici

L’aumento di questi attacchi è evidente: nel secondo trimestre del 2025 sono stati registrati oltre 6500 attacchi hyper-volumetrici, in netto aumento rispetto ai 700 del trimestre precedente. Questo trend preoccupa gli esperti di sicurezza, poiché spesso gli attacchi volumetrici vengono utilizzati come copertura per azioni più sofisticate, permettendo agli attaccanti di penetrare ulteriormente nelle reti e rubare dati o compromettere account di alto valore.

Botnet evolute e nuove tecniche di attacco

Un altro aspetto rilevante è l’evoluzione delle botnet, come RapperBot, che prende di mira videoregistratori di rete (NVR) e dispositivi IoT vulnerabili per arruolarli in attacchi DDoS. Gli hacker sfruttano vulnerabilità nei firmware per ottenere accesso e installare il malware necessario, utilizzando tecniche come il mount di file system NFS e l’aggiornamento fittizio del firmware. Successivamente, il malware comunica con server di comando e controllo attraverso DNS TXT records e algoritmi di generazione di domini, ricevendo istruzioni criptate per lanciare nuovi attacchi o propagare ulteriormente l’infezione.

Difesa e mitigazione

La difesa contro questi attacchi rimane una priorità assoluta per i provider cloud e le aziende di sicurezza, che continuano a sviluppare e implementare sistemi avanzati di rilevamento e mitigazione.