Introduzione: cosa è accaduto e come proteggersi
Nel dicembre 2025, il mondo digitale ha assistito a un evento senza precedenti: un attacco DDoS record di 31,4 terabit al secondo che ha colpito infrastrutture critiche in tutto il globo. Questo attacco, orchestrato dal botnet Aisuru/Kimwolf, ha superato ogni record precedente e ha messo a nudo le vulnerabilità delle nostre difese informatiche.
La soluzione rapida: Se sei un’azienda, contatta immediatamente il tuo provider di sicurezza informatica e verifica che le tue difese DDoS siano aggiornate. Se sei un utente privato, assicurati che i tuoi dispositivi IoT siano protetti con password forti e aggiornamenti di sicurezza regolari.
Cos’è un attacco DDoS e perché è pericoloso
Un attacco DDoS (Distributed Denial of Service) è un tentativo di rendere un servizio online inaccessibile inondandolo di traffico da migliaia di dispositivi compromessi contemporaneamente. A differenza di un singolo computer che attacca un sito web, un attacco DDoS utilizza una rete di computer infetti, chiamata botnet, per generare volumi di traffico impossibili da gestire.
Questo tipo di attacco è particolarmente pericoloso perché:
- Può colpire qualsiasi azienda, indipendentemente dalle sue dimensioni
- Causa interruzioni di servizio che comportano perdite economiche significative
- È difficile da tracciare e attribuire a responsabili specifici
- Può essere utilizzato come copertura per altri attacchi informatici più sofisticati
L’attacco record di 31,4 Tbps: cosa è successo
Il 19 dicembre 2025, il botnet Aisuru/Kimwolf ha lanciato una campagna di attacchi DDoS denominata “The Night Before Christmas” che ha raggiunto il picco di 31,4 terabit al secondo con 200 milioni di richieste al secondo. L’attacco è durato soli 35 secondi, ma in quel breve lasso di tempo ha generato un volume di traffico equivalente a quello che normalmente un’intera nazione potrebbe produrre in ore.
Per mettere in prospettiva questa cifra: 205 milioni di richieste al secondo equivalgono alla popolazione combinata del Regno Unito, della Germania e della Spagna che contemporaneamente digita un indirizzo web e preme invio nello stesso secondo.
L’attacco è stato rilevato e mitigato automaticamente da Cloudflare, la principale piattaforma di protezione DDoS al mondo. Tuttavia, la sua portata ha evidenziato una crescita esponenziale della minaccia: nel 2025, gli attacchi DDoS sono più che raddoppiati rispetto all’anno precedente, e le dimensioni medie degli attacchi sono cresciute di oltre il 700% rispetto al 2024.
Chi è stato colpito e perché
L’attacco è stato principalmente diretto contro aziende nel settore delle telecomunicazioni, provider di servizi internet e organizzazioni IT. Nel quarto trimestre del 2025, sono stati registrati 47,1 milioni di attacchi DDoS, con un aumento del 121% rispetto al 2024.
I settori più colpiti includono:
- Telecomunicazioni
- Servizi IT
- Gambling e casinò online
- Industria dei videogiochi
Questa concentrazione su settori specifici suggerisce che gli attaccanti hanno obiettivi mirati e stanno cercando di massimizzare l’impatto economico e operativo dei loro attacchi.
Il botnet Aisuru/Kimwolf: chi c’è dietro
Aisuru/Kimwolf è una botnet sofisticata basata su TurboMirai, una variante del famigerato malware Mirai. Questo botnet è particolarmente pericoloso perché:
- Incorpora capacità DDoS dedicate e funzioni multi-uso
- Può eseguire attività illecite oltre agli attacchi DDoS, inclusi credential stuffing, web scraping guidato da intelligenza artificiale, spam e phishing
- Utilizza flood UDP, TCP e GRE con pacchetti di medie dimensioni e porte/flag casualizzate
- Ha infettato presumibilmente oltre 1,8 milioni di dispositivi
I ricercatori hanno osservato circa 2,7 milioni di indirizzi IP che interagiscono con i server di controllo del botnet in soli tre giorni, indicando una scala di infezione molto più ampia.
L’escalation della minaccia nel 2025
L’attacco di dicembre non è stato un evento isolato. Nel corso del 2025, Cloudflare ha documentato un’escalation costante:
- Nel primo trimestre: crescita iniziale degli attacchi
- Nel secondo trimestre: aumento della sofisticazione
- Nel terzo trimestre: ulteriore crescita in frequenza e volume
- Nel quarto trimestre: aumento del 40% degli attacchi iper-volumetrici rispetto al trimestre precedente
Questa tendenza al rialzo è preoccupante perché suggerisce che gli attaccanti stanno sviluppando capacità sempre maggiori e che le infrastrutture critiche globali potrebbero non essere adeguatamente preparate per affrontare minacce di questa portata.
Quali sono le implicazioni per la sicurezza globale
L’attacco di 31,4 Tbps ha dimostrato che è possibile lanciare attacchi DDoS di una portata tale da potenzialmente:
- Paralizzare le infrastrutture di interi paesi
- Disattivare i sistemi legacy di protezione DDoS che non sono progettati per gestire volumi di questa scala
- Causare interruzioni a cascata in settori interconnessi come finanza, sanità e servizi pubblici
- Servire come copertura per attacchi più sofisticati e mirati
Gli esperti di sicurezza prevedono che nei prossimi 12-18 mesi assisteremo a:
- Ulteriori incrementi nella frequenza degli attacchi DDoS
- Possibili attacchi ancora più grandi e sofisticati
- Maggiore targeting di infrastrutture critiche
- Evoluzione delle tattiche degli attaccanti per eludere le difese esistenti
Technical Deep Dive
Analisi tecnica dell’attacco
L’attacco di 31,4 Tbps era composto da tre componenti principali:
Attacchi packet-intensive (384 attacchi): Questi attacchi utilizzavano flood UDP, TCP e GRE con pacchetti di medie dimensioni e porte/flag casualizzate. Il traffico proveniva da oltre 1 terabit al secondo da dispositivi CPE (Customer Premises Equipment) compromessi, causando interruzioni del broadband e persino guasti ai line card dei router.
Attacchi bit-intensive (329 attacchi): Questi attacchi generavano volumi estremamente elevati di dati, raggiungendo picchi di 24 terabit al secondo e 9 miliardi di pacchetti al secondo durante la campagna.
Attacchi request-intensive (189 attacchi): Questi attacchi HTTP/HTTPS generavano fino a 205 milioni di richieste al secondo, esercitando una pressione massiccia sui server web e sulle applicazioni.
Architettura del botnet
Aisuru/Kimwolf segue un pattern di naming “niggabox + v[number]” con versioni v4 e v5 tracciate. L’infrastruttura del botnet:
- Utilizza multiple server di comando e controllo (C2)
- Abbraccia multiple zone temporali globali
- Mantiene diverse versioni simultaneamente per aumentare la resilienza
- Ha dimostrato capacità di coordinare attacchi su scala massiccia
La ricerca ha rivelato che il botnet interagisce con milioni di indirizzi IP, suggerendo un’infrastruttura distribuita e difficile da smantellare completamente.
Capacità di mitigazione e risposta
Durante la campagna di attacchi del Q4 2025, i sistemi autonomi di difesa DDoS di Cloudflare hanno:
- Rilevato e mitigato automaticamente tutti gli attacchi senza intervento manuale
- Gestito una media di 5.376 mitigazioni all’ora
- Adattato le difese in tempo reale per bloccare le varianti del botnet
- Mantenuto la continuità del servizio per i clienti colpiti
Questa risposta automatica è stata cruciale, poiché la durata brevissima di molti attacchi (35 secondi) rende impossibile una mitigazione “on-demand” manuale.
Vettori di attacco e metodologie
Il botnet utilizza diverse metodologie di attacco:
- GRE floods: Utilizzano il Generic Routing Encapsulation per inviare pacchetti incapsulati che possono eludere alcuni filtri
- UDP floods: Generano volumi massiccia di pacchetti User Datagram Protocol
- TCP floods: Esauriscono le risorse del server attraverso connessioni TCP non autenticate
- HTTP/HTTPS floods: Generano richieste HTTP/HTTPS legittime ma massicce
Questa diversità tattica rende difficile per una singola soluzione di difesa bloccare tutti gli attacchi simultaneamente.
Implicazioni per l’infrastruttura di rete
Gli attacchi di questa scala hanno implicazioni significative per l’infrastruttura di rete globale:
- I dispositivi CPE compromessi generano traffico sufficiente a saturare i link broadband
- I flood ad alta velocità causano guasti ai componenti hardware come i line card dei router
- La natura distribuita degli attacchi rende impossibile bloccarli alla fonte
- La crescita del 700% nella dimensione degli attacchi indica un’evoluzione rapida delle capacità offensive
Gli operatori di rete devono implementare difese a più livelli, inclusi filtri BGP, rate limiting e sistemi di rilevamento delle anomalie basati su machine learning.
