Ddos

Jacob Butler, um canadense de 23 anos, foi preso em Ottawa sob um mandado de extradição, acusado de operar a botnet KimWolf, que infectou quase dois milhões de dispositivos em todo o mundo. Segundo documentos judiciais, Butler utilizava um modelo de ‘cibercrime como serviço’ para vender acesso a uma vasta rede de sistemas comprometidos, que incluíam desde câmeras de segurança até dispositivos de streaming. A KimWolf foi responsável por mais de 25 mil ataques DDoS, causando perdas financeiras superiores a um milhão de dólares para algumas vítimas. O ataque mais significativo registrado alcançou quase 30 terabits por segundo, tornando-se um dos maiores ataques DDoS já divulgados. Além disso, as autoridades dos EUA também desmantelaram 45 plataformas de DDoS-for-hire, interrompendo operações que colaboravam com a KimWolf. A prisão de Butler é parte de uma operação internacional que visa combater o cibercrime e proteger a infraestrutura digital.

O Departamento de Justiça dos EUA anunciou a prisão de Jacob Butler, um canadense de 23 anos, acusado de operar a botnet Kimwolf, uma variante do AISURU. Essa botnet foi projetada para infectar dispositivos normalmente protegidos por firewalls, como câmeras e molduras digitais, e utilizava um modelo de ‘cibercrime como serviço’ para vender acesso a esses dispositivos a outros criminosos. Os dispositivos infectados eram forçados a participar de ataques DDoS, que visavam servidores em todo o mundo, incluindo endereços IP da rede de informações do Departamento de Defesa dos EUA. Butler foi identificado através de registros de IP e mensagens em plataformas como Discord. A operação de desmantelamento da Kimwolf ocorreu em colaboração com autoridades canadenses e alemãs, resultando na interrupção de sua infraestrutura de comando e controle. A botnet é responsável por mais de 25.000 comandos de ataque e por alguns dos maiores ataques DDoS já registrados, com picos de tráfego de 31,4 Terabits por segundo. Butler enfrenta até 10 anos de prisão se condenado por intrusão de computador.

Recentemente, o malware Shai-Hulud, que vazou na semana passada, foi utilizado em novos ataques ao índice do Node Package Manager (npm). Um ator de ameaça, utilizando a conta deadcode09284814, publicou quatro pacotes maliciosos, sendo que um deles continha uma versão não ofuscada do Shai-Hulud, visando credenciais de desenvolvedores, segredos, dados de carteiras de criptomoedas e informações de contas. Os pacotes infectados exfiltravam informações, como credenciais e arquivos de configuração, e um deles transformava o sistema em um bot para atividades de negação de serviço distribuído (DDoS). Pesquisadores da OXsecurity identificaram esses uploads maliciosos e notaram que o ator utilizou nomes com erros de digitação (typosquatting) para enganar usuários do Axios. O pacote chalk-tempalte, que contém um clone do malware, é o primeiro caso documentado de uma cópia do Shai-Hulud implantada no npm. O código malicioso ainda mantém a funcionalidade de publicação no GitHub, o que permite o upload de credenciais roubadas em repositórios públicos. Os pesquisadores recomendam que desenvolvedores que baixaram pacotes infectados os removam imediatamente e rotacionem suas credenciais e chaves de API.

Pesquisadores de cibersegurança revelaram a existência de uma nova botnet chamada xlabs_v1, derivada do Mirai, que se especializa em atacar dispositivos expostos à Internet que utilizam o Android Debug Bridge (ADB). A descoberta foi feita pela Hunt.io, que identificou um diretório exposto em um servidor na Holanda. A botnet é capaz de realizar ataques de negação de serviço distribuído (DDoS) e oferece 21 variantes de ataque, utilizando protocolos TCP, UDP e outros. O foco principal são dispositivos Android, como caixas de TV e roteadores, que têm o ADB habilitado por padrão. Além disso, a botnet é projetada para coletar informações sobre a largura de banda dos dispositivos comprometidos, permitindo que o operador classifique os dispositivos em diferentes faixas de preço para serviços de DDoS. A operação é considerada de médio porte, mais sofisticada que versões anteriores do Mirai, mas ainda assim acessível a criminosos. A situação é alarmante, especialmente para o setor de jogos, que já foi alvo de ataques semelhantes. A Hunt.io recomenda que operadores de servidores de jogos implementem medidas de mitigação adequadas para se proteger contra esses ataques.

Um novo relatório da Qrator Labs revela que a maior botnet já registrada cresceu de 1,33 milhão para 13,5 milhões de dispositivos infectados em apenas um ano, um aumento alarmante de dez vezes. A maioria dos dispositivos comprometidos está localizada nos Estados Unidos, Brasil e Índia, dificultando a eficácia de bloqueios baseados em país. Um dos ataques DDoS mais significativos, com pico de 2Tbps, ocorreu no primeiro trimestre de 2026, visando uma organização do setor de apostas e durou mais de 40 minutos, com múltiplos picos de intensidade. Os pesquisadores notaram uma mudança nas táticas dos atacantes, que agora utilizam métodos multi-vetoriais, combinando tráfego de rede e de aplicação. Além disso, um novo loader de botnet, conhecido como Aeternum C2, utiliza a blockchain Polygon para suas operações, tornando a desativação mais complexa. O aumento de tráfego automatizado e ataques prolongados, como um que durou mais de duas semanas contra um alvo de e-commerce, também foram observados, destacando a evolução das ameaças cibernéticas.

A Interconnection Academy e a Global Cyber Alliance disponibilizaram um treinamento gratuito focado em capacitar profissionais de TI para enfrentar crimes cibernéticos em infraestruturas de rede. A iniciativa surge em resposta ao aumento de ataques como DDoS, spoofing e man-in-the-middle, que têm se tornado cada vez mais comuns. O curso enfatiza a aplicação prática de protocolos de segurança, com destaque para o padrão MANRS (Mutually Agreed Norms for Routing Security), que visa garantir a integridade do roteamento na internet.

O artigo analisa uma série de incidentes de cibersegurança que revelam um padrão preocupante de ataques, onde ferramentas de terceiros são exploradas para obter acesso interno a sistemas. Um exemplo notável é a violação de dados da Vercel, que ocorreu após a comprometimento do Context.ai, uma ferramenta de inteligência artificial utilizada por um funcionário. Os atacantes conseguiram acessar ambientes internos da Vercel, expondo variáveis não sensíveis. Além disso, a operação de DDoS-for-hire foi desmantelada por autoridades, mas a resiliência desse tipo de crime continua a ser um desafio. Outro incidente envolve a botnet PowMix, que ataca trabalhadores na República Tcheca, utilizando técnicas sofisticadas para evitar detecções. O uso de extensões maliciosas do Chrome e a exploração de plugins como o Obsidian para distribuir malware também foram destacados. A crescente utilização de inteligência artificial em campanhas de fraude publicitária e a descoberta de trojans como o STX RAT e o PHANTOMPULSE ressaltam a evolução das ameaças. O artigo conclui que a confiança nas ferramentas digitais está sendo manipulada, exigindo uma vigilância constante e atualizações de segurança.

Uma operação internacional de aplicação da lei, chamada Operação PowerOFF, resultou na desativação de 53 domínios e na prisão de quatro indivíduos envolvidos em operações comerciais de negação de serviço distribuído (DDoS). Esses serviços eram utilizados por mais de 75.000 cibercriminosos. A ação, que contou com a participação de 21 países, incluindo o Brasil, teve como objetivo interromper o acesso a serviços de DDoS por contratação, desmantelar a infraestrutura técnica que os sustentava e acessar bancos de dados com mais de 3 milhões de contas de usuários criminosos. A Europol destacou que esses serviços permitem que até mesmo pessoas com pouco conhecimento técnico realizem ataques maliciosos em larga escala, causando danos significativos a empresas. A operação também incluiu o envio de avisos a usuários identificados e a emissão de 25 mandados de busca. A atividade de DDoS é considerada uma das tendências mais acessíveis e prolíficas do cibercrime, com motivações que vão desde extorsão até hacktivismo. A operação é um passo importante na luta contra a criminalidade cibernética, especialmente após a desativação de uma botnet chamada RapperBot em agosto de 2025, que havia realizado ataques em mais de 80 países desde 2021.

Mais de 75.000 usuários de plataformas de negação de serviço distribuído (DDoS) foram alertados por e-mails e cartas durante a mais recente fase da Operação PowerOFF, uma ação internacional de aplicação da lei apoiada pela Europol e envolvendo autoridades de 21 países. A operação resultou na prisão de quatro pessoas, na desativação de 53 domínios e na emissão de 25 mandados de busca. As chamadas ‘booters’, plataformas que oferecem serviços DDoS sob demanda, foram alvo de ações que desmantelaram a infraestrutura técnica que as sustenta. Embora alguns operadores tentem justificar essas plataformas como ferramentas de teste de estresse legítimas, a falta de verificação de propriedade dos alvos as torna ilegais. A operação, que já desmantelou infraestruturas críticas e apreendeu bancos de dados com mais de 3 milhões de contas criminosas, agora entra em uma fase de prevenção, que inclui campanhas de conscientização e medidas de interrupção. Isso envolve anúncios em motores de busca direcionados a jovens que buscam ferramentas DDoS e a remoção de URLs que promovem esses serviços ilegais.

O cenário de cibersegurança continua a evoluir com novas ameaças e vulnerabilidades que merecem atenção. Um dos principais destaques é a variante do botnet Phorpiex, que utiliza um modelo híbrido de comunicação para garantir continuidade operacional, mesmo diante de desativação de servidores. Este malware tem como objetivos principais redirecionar transações de criptomoedas e disseminar spam de extorsão sexual, além de facilitar a implementação de ransomware.

Outra vulnerabilidade crítica identificada é a do Apache ActiveMQ Classic, que permitiu a execução remota de código (RCE) por 13 anos. Essa falha pode ser combinada com uma vulnerabilidade anterior para contornar autenticações, tornando-se uma ameaça significativa, especialmente em ambientes que utilizam credenciais padrão.

Pesquisadores de cibersegurança revelaram a existência de uma botnet chamada Masjesu, que tem sido utilizada para ataques de negação de serviço distribuída (DDoS) desde 2023. Anunciada como um serviço de DDoS sob demanda no Telegram, a Masjesu se destaca por sua capacidade de atingir uma variedade de dispositivos IoT, como roteadores e câmeras, evitando endereços IP bloqueados para garantir sua sobrevivência a longo prazo. O malware utiliza criptografia baseada em XOR para ocultar dados e comandos, e já foi associado a um operador conhecido como ‘synmaestro’.

Pesquisadores de cibersegurança identificaram uma nova variante de malware chamada Chaos, que está se expandindo para atingir implantações em nuvem mal configuradas, além de seu foco tradicional em roteadores e dispositivos de borda. O malware, que foi documentado pela primeira vez em setembro de 2022, é capaz de operar em ambientes Windows e Linux, permitindo a execução de comandos remotos, mineração de criptomoedas e ataques de negação de serviço distribuídos (DDoS).

O FBI, em colaboração com o Departamento de Justiça dos EUA e autoridades internacionais, desativou quatro botnets conhecidas como Aisuru, KimWolf, JackSkid e Mossad, que impactaram mais de 3 milhões de dispositivos domésticos com ataques de Negação de Serviço Distribuído (DDoS). Esses ataques, considerados sem precedentes, conseguiram transferir até 30 terabits de dados por segundo, o que poderia paralisar a infraestrutura da internet. As botnets operavam sob um modelo de Crime como Serviço (CaaS), comercializando ferramentas ilegais para hackers, o que ampliou a escala dos ataques. A operação incluiu a apreensão de domínios e servidores, interrompendo a comunicação entre os hackers e os dispositivos infectados. Especialistas alertam que os danos financeiros decorrentes desses ataques podem ser significativos, especialmente na recuperação dos sistemas afetados.

O cenário da cibersegurança continua alarmante, com sistemas considerados seguros sendo comprometidos de maneiras simples. Recentemente, o scanner de vulnerabilidades Trivy foi alvo de um ataque que injetou malware em suas versões oficiais, resultando na propagação de um worm autônomo chamado CanisterWorm. Além disso, uma operação do Departamento de Justiça dos EUA desmantelou botnets de IoT responsáveis por alguns dos maiores ataques DDoS, que afetaram dispositivos como câmeras IP e roteadores com credenciais fracas. Em outra frente, uma falha crítica no software Cisco FMC foi explorada por um ransomware, permitindo que atacantes executassem código malicioso remotamente. A velocidade com que as vulnerabilidades são exploradas está aumentando, como evidenciado por uma falha no Langflow que foi atacada apenas 20 horas após sua divulgação. O novo fluxo avançado de instalação de aplicativos no Android também foi introduzido para combater fraudes e malware, adicionando etapas de verificação. O artigo destaca a necessidade urgente de que as organizações revisem suas práticas de segurança e atualizem suas defesas para mitigar esses riscos.

Autoridades dos Estados Unidos, Alemanha e Canadá realizaram uma operação conjunta para desmantelar a infraestrutura de Comando e Controle (C2) utilizada pelas botnets Aisuru, KimWolf, JackSkid e Mossad, que infectavam dispositivos da Internet das Coisas (IoT). Essa ação visou servidores virtuais, domínios da internet e outras infraestruturas que possibilitaram a realização de centenas de milhares de ataques de negação de serviço distribuído (DDoS) em todo o mundo, incluindo endereços IP pertencentes à rede de informações do Departamento de Defesa dos EUA. A botnet Aisuru, por exemplo, estabeleceu um recorde em dezembro com um ataque DDoS que atingiu 31,4 Tbps e 200 milhões de requisições por segundo, afetando principalmente empresas do setor de telecomunicações. As investigações revelaram que essas botnets infectaram mais de três milhões de dispositivos IoT, como câmeras de segurança e roteadores WiFi, muitos localizados nos EUA. Os operadores das botnets vendiam acesso a outros cibercriminosos, permitindo ataques que resultaram em perdas financeiras significativas. A operação conjunta teve como objetivo interromper as comunicações associadas a essas botnets e prevenir novas infecções.

O Departamento de Justiça dos EUA anunciou a desarticulação de infraestruturas de comando e controle (C2) de várias botnets de Internet das Coisas (IoT), incluindo AISURU, Kimwolf, JackSkid e Mossad. Essa operação, que contou com a colaboração de autoridades do Canadá e da Alemanha, resultou na interrupção de ataques de negação de serviço distribuído (DDoS) que alcançaram picos de até 30 Terabits por segundo. As botnets, que infectaram mais de 3 milhões de dispositivos em todo o mundo, foram responsáveis por ataques massivos, como o de 31,4 Tbps em novembro de 2025. O Kimwolf, em particular, destacou-se por explorar redes proxy residenciais, permitindo acesso a dispositivos tradicionalmente protegidos. A operação envolveu empresas de tecnologia como Amazon Web Services e Cloudflare, que auxiliaram na investigação e mitigação dos ataques. Embora a desarticulação tenha sido um avanço significativo, especialistas alertam que a resiliência das botnets e a proliferação de novas variantes continuam a representar um risco elevado para a segurança cibernética global.

Pesquisadores em cibersegurança alertam sobre um aumento significativo na atividade hacktivista em resposta à campanha militar coordenada entre os EUA e Israel contra o Irã, denominada Epic Fury e Roaring Lion. Entre 28 de fevereiro e 2 de março de 2026, 149 ataques DDoS foram registrados, com 70% deles atribuídos a dois grupos principais: Keymous+ e DieNet. O grupo Hider Nex, que apoia causas pró-Palestina, foi responsável pelo primeiro ataque DDoS da série. A maioria dos ataques se concentrou no Oriente Médio, afetando principalmente a infraestrutura pública e alvos governamentais. Além disso, grupos hacktivistas pro-Rússia também reivindicaram invasões em redes militares israelenses. O cenário atual é marcado por uma combinação de ataques cibernéticos e campanhas de phishing, com o objetivo de causar danos econômicos e políticos. As organizações estão sendo aconselhadas a fortalecer suas posturas de segurança cibernética, especialmente em setores críticos como governo, infraestrutura e finanças, em resposta ao aumento da atividade de atores cibernéticos iranianos e hacktivistas.

Um relatório da NETSCOUT, divulgado em 4 de março de 2026, revela um aumento alarmante na sofisticação dos ataques DDoS (Negação de Serviço Distribuídos) em todo o mundo, com o Brasil se destacando como o principal alvo na América Latina. No segundo semestre de 2025, foram registrados mais de oito milhões de ataques em 203 países, com picos de até 30 Tbps. Os pesquisadores identificaram que 42% dos ataques utilizaram múltiplos vetores, dificultando a detecção. Além disso, houve um aumento significativo na utilização de botnets e ferramentas de inteligência artificial por cibercriminosos, que agora colaboram com IAs para otimizar suas operações. O Brasil sofreu mais de 470 mil ataques DDoS, representando quase metade dos incidentes na América Latina, afetando setores críticos como telecomunicações e serviços financeiros. A situação é preocupante, pois a sobrecarga nos sistemas de defesa pode comprometer serviços essenciais, como portais governamentais e financeiros.

As autoridades espanholas prenderam quatro supostos membros do grupo hacktivista ‘Anonymous Fénix’, que é acusado de realizar ataques cibernéticos contra ministérios, partidos políticos e instituições públicas. O grupo, que se dizia afiliado ao coletivo Anonymous, executou ataques de negação de serviço distribuída (DDoS) em alvos na Espanha e em países da América do Sul. Os primeiros ataques ocorreram em abril de 2023 e aumentaram após as inundações em Valência em outubro de 2024, quando o grupo atacou sites do governo, alegando que as autoridades eram responsáveis pelas mortes e destruição causadas pela tempestade. Além disso, o grupo utilizou plataformas como X e Telegram para disseminar mensagens anti-governamentais e recrutar voluntários. A Guarda Civil da Espanha prendeu o administrador e o moderador do grupo em maio de 2025, e, após investigações, identificou e prendeu outros dois membros ativos. As autoridades também ordenaram a apreensão das contas do grupo nas redes sociais e o fechamento de seu canal no Telegram. Não foram divulgados detalhes sobre as acusações específicas ou possíveis penalidades.

A Wikipedia decidiu colocar o site Archive.today na lista negra, afetando mais de 695.000 links em cerca de 400.000 páginas em inglês. A decisão foi tomada após alegações de que Archive.today facilitou um ataque DDoS contra o blog de Jani Patokallio, utilizando um código JavaScript malicioso inserido em sua página CAPTCHA. Esse código fazia com que os navegadores dos usuários enviassem requisições repetidas ao blog, consumindo recursos e tornando-o inacessível. O ataque começou após o mantenedor do Archive.today exigir a remoção de um post que investigava a propriedade do site. A Wikipedia argumentou que a segurança dos usuários é mais importante do que a conveniência, considerando que um site que utiliza os navegadores dos visitantes para ataques é ’não confiável’. Além disso, a Wikipedia já havia banido Archive.today em 2013, antes de reverter a decisão em 2016. Agora, os editores da Wikipedia precisarão substituir os links do Archive.today por alternativas como Internet Archive ou Wayback Machine, ou utilizar fontes não arquivadas sempre que possível.

As ameaças cibernéticas atuais não se limitam mais a malware ou exploits, mas estão se infiltrando nas ferramentas e plataformas que as organizações utilizam diariamente. Com a crescente interconexão de aplicativos de IA, nuvem e sistemas de comunicação, os atacantes estão explorando esses mesmos caminhos. Um padrão alarmante observado é o abuso de confiança em atualizações, marketplaces e aplicativos considerados seguros. A parceria entre a OpenClaw e o VirusTotal, por exemplo, visa melhorar a segurança de um ecossistema de IA, após a descoberta de habilidades maliciosas em sua plataforma. Além disso, um alerta conjunto das agências de segurança da Alemanha destaca campanhas de phishing direcionadas a alvos de alto nível, utilizando o aplicativo Signal. Outro ponto crítico é a botnet AISURU, que foi responsável por um ataque DDoS recorde de 31,4 Tbps. A vulnerabilidade no assistente de IA da Docker, chamada DockerDash, permite a execução remota de código, evidenciando a necessidade de um modelo de segurança baseado em Zero Trust. A Microsoft também desenvolveu um scanner para detectar backdoors em modelos de IA, ressaltando a importância de monitorar e mitigar riscos em ambientes de IA. Esses eventos demonstram que a segurança cibernética precisa evoluir para enfrentar ameaças cada vez mais sofisticadas.

As TVs conectadas à internet, especialmente aquelas com sistema Android, tornaram-se alvos preferidos de hackers devido à sua vulnerabilidade e à falta de medidas de segurança adequadas. Diferente de computadores e smartphones, as TVs geralmente não recebem atualizações de segurança regulares, o que as torna um terreno fértil para ataques cibernéticos. Um exemplo alarmante é a botnet Aisuru, que utilizou TVs Android hackeadas para realizar um dos maiores ataques DDoS da história, com 200 milhões de solicitações maliciosas por segundo.

A botnet AISURU/Kimwolf foi responsável por um ataque de negação de serviço distribuído (DDoS) que atingiu a marca recorde de 31,4 Terabits por segundo (Tbps) em novembro de 2025, durando apenas 35 segundos. A Cloudflare, que detectou e mitigou automaticamente a atividade, relatou um aumento significativo de ataques DDoS hipervolumétricos, com um crescimento de 121% em 2025, totalizando 47,1 milhões de ataques. Durante a campanha conhecida como ‘The Night Before Christmas’, que começou em 19 de dezembro de 2025, a média dos ataques foi de 4 Tbps, com picos de até 24 Tbps. A botnet comprometeu mais de 2 milhões de dispositivos Android, principalmente TVs Android de marcas não reconhecidas, utilizando redes de proxy residenciais para controlar esses dispositivos. Além disso, a Cloudflare observou que o setor de telecomunicações foi o mais atacado, com países como China, Brasil e EUA figurando entre os mais afetados. O aumento na sofisticação e no tamanho dos ataques representa um desafio crescente para as organizações, que devem reavaliar suas estratégias de defesa.

Em janeiro, hackers invadiram a plataforma de investimentos automatizados Betterment, comprometendo dados pessoais de aproximadamente 1,4 milhão de contas. A Betterment, que gerencia cerca de 65 bilhões de dólares em ativos, não revelou o número exato de clientes afetados, mas a análise do serviço Have I Been Pwned confirmou a exposição de informações como endereços de e-mail, nomes, locais geográficos, datas de nascimento, endereços físicos e números de telefone. Após a invasão, os atacantes enviaram e-mails fraudulentos disfarçados de promoções da empresa, tentando enganar clientes com uma falsa oferta de recompensas em criptomoedas. A Betterment assegurou que não houve comprometimento das contas dos clientes e que o acesso não autorizado foi removido. Além disso, a empresa confirmou que a interrupção em seu site e aplicativo móvel foi causada por um ataque de negação de serviço (DDoS). Uma investigação forense, realizada em parceria com a CrowdStrike, não encontrou evidências de que informações sensíveis, como senhas ou dados de login, foram acessadas. O incidente destaca a importância da segurança cibernética em plataformas financeiras e a necessidade de vigilância constante contra ataques de engenharia social.

A botnet Aisuru estabeleceu um novo recorde ao realizar um ataque de Negação de Serviço Distribuída (DDoS) que alcançou 31,4 Tbps, com 200 milhões de solicitações por segundo. Este ataque, que ocorreu em fevereiro de 2026, foi direcionado principalmente a empresas do setor de telecomunicações e foi detectado pela Cloudflare, que classificou o incidente como um ‘bombardeio sem precedentes’. Aisuru já havia registrado um ataque anterior de 29,7 Tbps, mas a nova campanha se destacou pela intensidade e pela utilização de dispositivos IoT, incluindo TVs Android hackeadas, para amplificar o ataque. O aumento de 121% nos ataques DDoS no último trimestre de 2025, totalizando 47,1 milhões de incidentes, destaca a crescente preocupação com a segurança cibernética, especialmente em setores como telecomunicações, TI e apostas esportivas, que são os mais visados. O cenário é alarmante, pois a botnet Aisuru se alimenta de dispositivos comprometidos, o que representa um risco significativo para a infraestrutura digital global.

A botnet Aisuru/Kimwolf lançou um ataque DDoS massivo que atingiu picos de 31,4 Tbps e 200 milhões de requisições por segundo, estabelecendo um novo recorde. O ataque, que ocorreu em 19 de dezembro de 2025, visou principalmente empresas do setor de telecomunicações e foi detectado e mitigado pela Cloudflare. Aisuru já era responsável pelo recorde anterior de 29,7 Tbps. A campanha, chamada de ‘A Noite Antes do Natal’, foi caracterizada como um ‘bombardeio sem precedentes’ e incluiu ataques HTTP DDoS hipervolumétricos e ataques de camada 4. A maioria dos ataques durou entre um e dois minutos, com 90% deles atingindo picos entre 1-5 Tbps. A origem dos ataques foi atribuída a dispositivos Android TV, além de dispositivos IoT e roteadores comprometidos. O relatório da Cloudflare também revelou um aumento de 121% nos ataques DDoS em 2025, com 47,1 milhões de incidentes registrados, destacando a crescente ameaça que esses ataques representam para empresas em todo o mundo.

O governo do Reino Unido emitiu um alerta sobre atividades maliciosas contínuas de grupos hacktivistas alinhados à Rússia, que estão visando a infraestrutura crítica e organizações governamentais locais através de ataques de negação de serviço distribuído (DDoS). Esses ataques têm como objetivo derrubar sites e desativar serviços, causando custos elevados para as organizações afetadas. O Centro Nacional de Segurança Cibernética (NCSC) destacou o grupo NoName057(16), que opera o projeto DDoSia, permitindo que voluntários contribuam com recursos computacionais para realizar ataques DDoS em troca de recompensas. Apesar de uma operação internacional que interrompeu parte das atividades do grupo em julho de 2025, os principais operadores ainda estão ativos, o que representa uma ameaça em evolução, especialmente para ambientes de tecnologia operacional (OT). Para mitigar os riscos de DDoS, o NCSC recomenda que as organizações compreendam seus serviços, fortaleçam defesas, projetem para escalabilidade rápida e testem continuamente suas defesas. Os hacktivistas russos têm se tornado uma ameaça crescente desde 2022, visando organizações em países que se opõem às ambições geopolíticas da Rússia.

Pesquisadores do laboratório Black Lotus, da Lumen Technologies, conseguiram desativar mais de 550 servidores de comando e controle (C2) das botnets Aisuru e Kimwolf, que operam desde outubro de 2025. A Aisuru, uma das maiores botnets em atividade, é conhecida por realizar ataques DDoS e hospedar tráfego malicioso através de proxies residenciais. A seção Kimwolf, voltada para dispositivos Android, infectou mais de 2 milhões de aparelhos, principalmente TV Boxes, utilizando um SDK malicioso chamado ByteConnect. A botnet não apenas realiza ataques, mas também cobra por serviços de realocação de banda larga e venda de DDoS. A Black Lotus identificou um aumento significativo no número de bots da Kimwolf, que chegou a 800.000 em outubro de 2025. As operações maliciosas se escondem em tráfego comum, dificultando a detecção. A desativação dos servidores é um passo importante, mas os cibercriminosos estão se adaptando rapidamente, mudando para novos IPs e métodos de operação.

A equipe Black Lotus Labs da Lumen Technologies revelou que desde outubro de 2025, mais de 550 nós de comando e controle (C2) associados à botnet AISURU/Kimwolf foram neutralizados. Essas botnets, que afetam principalmente dispositivos Android, têm a capacidade de realizar ataques de negação de serviço distribuído (DDoS) e redirecionar tráfego malicioso para serviços de proxy residencial. A análise do malware Kimwolf, que transforma dispositivos Android TV comprometidos em proxies residenciais, foi detalhada em um relatório da QiAnXin XLab. A botnet já infectou mais de 2 milhões de dispositivos, explorando vulnerabilidades em serviços de proxy. Além disso, houve um aumento significativo no número de bots, com 800 mil novos dispositivos adicionados em um curto período. A infraestrutura C2 da Kimwolf foi observada escaneando serviços em busca de dispositivos vulneráveis, utilizando falhas de segurança para propagar o malware. A situação é preocupante, pois esses dispositivos comprometidos operam sob a aparência de tráfego legítimo, dificultando a detecção por soluções de segurança. A relevância deste incidente é alta, especialmente para empresas que utilizam dispositivos Android em suas operações.

Os ataques de negação de serviço distribuído (DDoS) evoluíram drasticamente em 2025, tornando-se uma ocorrência diária para provedores de telecomunicações. O artigo destaca que, enquanto em 2024 cerca de 44% das campanhas DDoS terminavam em cinco minutos, esse número saltou para 78% em 2025, com mais de um terço dos ataques concluídos em menos de dois minutos. Essa aceleração se deve à automação dos ataques, que agora são orquestrados por algoritmos que adaptam suas estratégias em tempo real, dificultando a resposta das defesas tradicionais. Além disso, a origem do tráfego de ataque mudou, com redes de proxies residenciais, que podem incluir de 100 a 200 milhões de dispositivos, agora sendo utilizadas para retransmitir tráfego malicioso. Essa nova infraestrutura de ataque é invisível e muito mais difícil de ser detectada, representando uma ameaça significativa. Para se defender, as organizações precisam adotar sistemas automatizados e escaláveis que integrem inteligência para identificar tráfego malicioso entre usuários legítimos. O artigo conclui que as defesas DDoS tradicionais não são mais suficientes e que é crucial uma evolução para arquiteturas de defesa proativas.

A botnet Kimwolf, que já infectou mais de 2 milhões de dispositivos Android, tem se destacado por sua capacidade de explorar redes de proxy residenciais para disseminar malware. De acordo com a Synthient, a botnet monetiza suas operações através da instalação de aplicativos, venda de largura de banda de proxy residencial e funcionalidade de DDoS. Desde sua primeira documentação pública em dezembro de 2025, Kimwolf tem sido associada a ataques DDoS recordes, principalmente em países como Vietnã, Brasil, Índia e Arábia Saudita. A maioria das infecções ocorre em dispositivos Android que têm o Android Debug Bridge (ADB) exposto, com 67% dos dispositivos conectados à botnet sendo não autenticados e com ADB habilitado por padrão. Além disso, a botnet utiliza endereços IP de proxies alugados, como os oferecidos pela empresa chinesa IPIDEA, para infiltrar-se em redes locais e instalar o malware. A Synthient alerta que a vulnerabilidade expõe milhões de dispositivos a ataques, e recomenda que provedores de proxy bloqueiem solicitações a endereços IP privados para mitigar os riscos.

A botnet Kimwolf, identificada pela QiAnXin XLab, já infectou cerca de 1,8 milhão de dispositivos, incluindo TVs Android e set-top boxes. Entre 19 e 22 de novembro de 2025, a botnet emitiu 1,7 bilhão de comandos de ataque DDoS, destacando-se no ranking da Cloudflare. Os principais alvos são dispositivos de TV em redes residenciais, com infecções concentradas em países como Brasil, Índia e EUA. A botnet utiliza técnicas avançadas, como o uso de ENS (Ethereum Name Service) para dificultar sua desativação. A pesquisa sugere que Kimwolf pode estar associada à botnet AISURU, conhecida por ataques DDoS recordes. A malware é projetada para operar de forma discreta, garantindo que apenas uma instância do processo seja executada e utilizando criptografia TLS para comunicação. Com 13 métodos de ataque DDoS suportados, a botnet visa maximizar o uso da largura de banda dos dispositivos comprometidos, indicando um foco em monetização através de serviços de proxy. Este incidente destaca a crescente ameaça que botnets de grande escala representam para dispositivos IoT, especialmente em um cenário onde a segurança cibernética é cada vez mais crítica.

No terceiro trimestre de 2025, a Cloudflare reportou um aumento alarmante nos ataques DDoS, com picos de até 29,7 Tbps, impulsionados pela botnet Aisuru. Essa rede, composta por 1 a 4 milhões de dispositivos, é responsável por 8,3 milhões de ataques, um aumento de 15% em relação ao trimestre anterior e 40% em relação ao ano passado. Os ataques DDoS cresceram 54%, resultando em uma média de 14 incidentes diários. O setor de inteligência artificial foi particularmente afetado, com um aumento de 347% no tráfego DDoS. Os setores de telecomunicações, jogos online e financeiro também foram visados, com consequências severas, incluindo quedas de internet. A severidade dos ataques aumentou, com um crescimento de 189% em incidentes acima de 100 Mbps e 227% em ataques que superam 1 Tbps. A Indonésia se destacou como a principal origem global desses ataques, refletindo um cenário de cibersegurança cada vez mais complexo e desafiador.

Recentemente, o cenário de cibersegurança tem sido marcado por uma série de incidentes alarmantes. Um dos destaques é a exploração de uma falha crítica no React Server Components, conhecida como CVE-2025-55182, que permite a execução remota de código por atacantes não autenticados. Essa vulnerabilidade foi rapidamente explorada por grupos de hackers, especialmente da China, resultando em quase 29 mil endereços IP vulneráveis detectados. Além disso, mais de 30 falhas em ambientes de desenvolvimento integrados (IDEs) alimentados por inteligência artificial foram reveladas, permitindo a exfiltração de dados e execução remota de código. Outro ponto preocupante é o uso de aplicativos bancários falsos por grupos criminosos, como o GoldFactory, que têm atacado usuários na Indonésia, Tailândia e Vietnã, utilizando engenharia social para disseminar malware. No Brasil, campanhas de malware bancário estão sendo disseminadas via WhatsApp, com variantes como Casbaneiro e Astaroth, que exploram a confiança dos usuários em contatos conhecidos. Por fim, a Cloudflare conseguiu mitigar um ataque DDoS recorde de 29,7 Tbps, evidenciando a crescente sofisticação das ameaças. O cenário exige atenção redobrada das organizações para proteger suas infraestruturas e dados.

No dia 4 de dezembro de 2025, a Cloudflare anunciou a mitigação do maior ataque DDoS já registrado, com uma intensidade de 29,7 terabits por segundo (Tbps). O ataque, que durou apenas 69 segundos, foi originado de uma botnet chamada AISURU, conhecida por realizar ataques volumétricos massivos. A Cloudflare não revelou o alvo específico do ataque, mas destacou que a botnet tem como foco setores como telecomunicações, jogos, hospedagem e serviços financeiros. Além deste ataque, a empresa também neutralizou um ataque de 14,1 Bbps proveniente da mesma botnet. Desde o início do ano, a Cloudflare já mitigou 2.867 ataques da AISURU, sendo 1.304 apenas no terceiro trimestre de 2025. O número total de ataques DDoS bloqueados em 2025 alcançou 36,2 milhões, com um aumento significativo em relação ao ano anterior. A empresa observou que a maioria dos ataques DDoS durou menos de 10 minutos e que a origem dos ataques está concentrada principalmente na Ásia. A crescente sofisticação e volume dos ataques DDoS representam um desafio crescente para as organizações, que precisam se adaptar a esse cenário em evolução.

A Polícia Federal (PF) iniciou a Operação Intolerans para investigar ataques DDoS (Negação de Serviço Distribuída) que afetaram os sites de deputados que apoiaram o PL Antiaborto. O ataque, que ocorreu em 2 de dezembro de 2025, resultou em instabilidade e indisponibilidade das páginas dos parlamentares Eduardo Bolsonaro, Bia Kicis, Alexandre Ramagem e Paulo Bilynsky. Os ataques DDoS ocorrem quando um servidor é sobrecarregado com tráfego malicioso de múltiplas fontes, dificultando o acesso de usuários legítimos. Neste caso, os hackers utilizaram uma botnet, uma rede de dispositivos infectados, para coordenar o ataque, que teve motivações ideológicas e políticas, refletindo um protesto contra o projeto de lei que visa restringir o aborto em casos de violência sexual. Embora não tenha havido roubo de dados, a ação impediu a comunicação institucional dos deputados, o que pode ser considerado um crime de invasão de dispositivo informático. A PF está rastreando os IPs dos envolvidos, evidenciando que o anonimato na internet não é absoluto.

Recentemente, a Microsoft enfrentou um dos maiores ataques de negação de serviço (DDoS) já registrados, com um pico de 15,72 terabits por segundo (Tbps) provenientes de 500 mil endereços IP diferentes. O ataque, que utilizou inundações de tráfego UDP, teve como alvo um endereço IP público na Austrália, parte da infraestrutura Azure da empresa. A botnet responsável, identificada como Aisuru, explorou vulnerabilidades em dispositivos de Internet das Coisas (IoT), como roteadores e câmeras de vigilância, para realizar o ataque. Este incidente envolveu aproximadamente 3,64 bilhões de pacotes por segundo e é parte de uma série de ataques que a Aisuru tem realizado, incluindo um recorde anterior de 22,2 Tbps contra a Cloudflare. A Microsoft destacou que os atacantes usaram técnicas de spoofing mínimas, o que facilitou a identificação e neutralização dos agentes maliciosos. O aumento da capacidade da botnet Aisuru está associado a uma invasão em um servidor de atualização de firmware, comprometendo 100 mil dispositivos. O crescimento dos ataques DDoS é alarmante, com um aumento de 358% nos incidentes reportados em 2025, totalizando 21,3 milhões de ataques.

A Microsoft anunciou a neutralização de um ataque de negação de serviço distribuído (DDoS) que atingiu 15,72 terabits por segundo (Tbps) e 3,64 bilhões de pacotes por segundo (pps), o maior já observado na nuvem. O ataque, originado de uma botnet de Internet das Coisas (IoT) chamada AISURU, envolveu mais de 500.000 endereços IP de origem. Os ataques foram caracterizados por inundações UDP de alta taxa, com pouca falsificação de origem, o que facilitou a rastreabilidade. A botnet AISURU, composta por cerca de 300.000 dispositivos infectados, como roteadores e câmeras de segurança, é responsável por alguns dos maiores ataques DDoS registrados. Embora a Microsoft tenha conseguido neutralizar o ataque, a vulnerabilidade dos dispositivos comprometidos ainda representa um risco. Além disso, a botnet também é utilizada para outras atividades ilícitas, como phishing e scraping. A crescente capacidade de ataque é impulsionada pelo aumento da velocidade da internet e pela potência dos dispositivos IoT. Este incidente destaca a necessidade de vigilância contínua e medidas de segurança robustas para proteger infraestruturas críticas.

Pesquisadores em cibersegurança alertam para um aumento significativo de ataques automatizados direcionados a servidores PHP, dispositivos IoT e gateways de nuvem, realizados por botnets como Mirai, Gafgyt e Mozi. Segundo o relatório da Qualys Threat Research Unit, os servidores PHP se tornaram alvos principais devido ao uso generalizado de sistemas de gerenciamento de conteúdo, como WordPress e Craft CMS, que frequentemente apresentam vulnerabilidades conhecidas e configurações inadequadas. Entre as falhas exploradas estão CVE-2017-9841, CVE-2021-3129 e CVE-2022-47945, que permitem execução remota de código. Além disso, os atacantes estão utilizando strings de consulta específicas para iniciar sessões de depuração, o que pode expor dados sensíveis. A Qualys também observou que as tentativas de exploração frequentemente se originam de infraestruturas de nuvem, como AWS e Google Cloud, evidenciando como serviços legítimos estão sendo usados para encobrir atividades maliciosas. A empresa recomenda que os usuários mantenham seus dispositivos atualizados, removam ferramentas de desenvolvimento em ambientes de produção e restrinjam o acesso público à infraestrutura de nuvem. A nova botnet AISURU, classificada como TurboMirai, é capaz de lançar ataques DDoS superiores a 20 Tbps, destacando a evolução das ameaças cibernéticas atuais.

O uso de inteligência artificial (IA) no cibercrime está crescendo rapidamente, com 80% dos ataques de ransomware em 2023-2024 utilizando essa tecnologia. Ferramentas como GhostGPT e AkiraBot estão permitindo que cibercriminosos criem códigos maliciosos, elaborem e-mails de phishing e contornem CAPTCHAs. A evolução dos ataques DDoS, especialmente os de camada de aplicação, se torna mais complexa, pois a IA pode mimetizar o comportamento humano, dificultando a identificação de bots. A proteção tradicional, baseada em CAPTCHAs, já não é eficaz. Em resposta, a filtragem baseada em intenção surge como uma alternativa, avaliando o comportamento do usuário em vez de tentar distinguir humanos de máquinas. As empresas precisam investir em plataformas de mitigação de DDoS que suportem essa nova abordagem e implementar monitoramento em múltiplas camadas para detectar anomalias. A falta de soluções adequadas entre os provedores de segurança gerencia um risco significativo, especialmente para grandes empresas, que podem sofrer danos reputacionais e financeiros severos em caso de ataques bem-sucedidos.

No período entre 6 e 8 de outubro de 2025, grupos hacktivistas pró-Rússia, especialmente o Sylhet Gang e o NoName057(16), realizaram uma série de ataques cibernéticos coordenados contra sistemas israelenses, em resposta ao aniversário de um evento político significativo. Dados da Radware indicam que mais de 50 alegações de ataques DDoS foram registradas, um aumento de 14 vezes em relação à média diária de setembro. O Sylhet Gang atuou como um núcleo de mobilização, incentivando ações contra a infraestrutura israelense, enquanto o Arabian Ghosts se destacou como o grupo mais ativo, responsável por 40% das declarações de DDoS. Os ataques foram caracterizados por sua brevidade, com a maioria durando menos de 20 minutos, e focaram em alvos de alta visibilidade, como portais governamentais e plataformas de e-commerce. A participação de grupos como o NoName057(16) indica uma ampliação da coordenação entre coletivos hacktivistas com narrativas políticas comuns, refletindo uma nova dinâmica no cenário de cibersegurança global.

A campanha de malware RondoDox tem se expandido, visando mais de 50 vulnerabilidades em mais de 30 fornecedores, incluindo dispositivos como roteadores, DVRs e NVRs. A Trend Micro identificou uma tentativa de invasão em 15 de junho de 2025, explorando uma falha de segurança em roteadores TP-Link. O RondoDox, documentado pela Fortinet em julho de 2025, utiliza uma abordagem de ’loader-as-a-service’, combinando suas cargas com as de outros malwares como Mirai e Morte, o que torna a detecção mais desafiadora. As vulnerabilidades abrangem marcas conhecidas como D-Link, NETGEAR e Cisco, com 18 delas sem identificador CVE. A campanha representa uma evolução significativa na exploração automatizada de redes, passando de ataques a dispositivos únicos para operações multivetoriais. Além disso, um botnet chamado AISURU, que opera principalmente a partir de dispositivos IoT comprometidos nos EUA, também está em ascensão, controlando cerca de 300.000 hosts globalmente. A atividade de botnets está crescendo, com um ataque coordenado envolvendo mais de 100.000 endereços IP de 100 países, com foco em serviços RDP nos EUA, a maioria dos quais se origina de países como Brasil e Argentina.

Na última terça-feira (7), diversas plataformas de jogos online, incluindo Steam, PlayStation Network, Xbox Live, e títulos populares como Fortnite e League of Legends, enfrentaram lentidão e quedas simultâneas, sugerindo um ataque DDoS. O Downdetector registrou mais de 36.000 reclamações de usuários do Steam, com a Epic Games Store e PlayStation também reportando problemas significativos. A Riot Games, responsável por LoL e Valorant, confirmou sobrecarga em seus servidores, coincidindo com os problemas enfrentados por outras plataformas. Embora não haja confirmação oficial, especula-se que a botnet Aisuru esteja por trás do ataque, que visa grandes plataformas para demonstrar sua capacidade de causar interrupções. A Epic Games reconheceu as instabilidades, mas não forneceu detalhes sobre as causas ou possíveis responsáveis. Este incidente destaca a vulnerabilidade das infraestruturas de jogos online e a necessidade de medidas de segurança mais robustas para proteger os usuários e as plataformas.

Nesta semana, o cenário de cibersegurança foi marcado por diversas ameaças significativas. Entre os principais destaques, duas falhas de segurança em firewalls da Cisco foram exploradas por grupos de hackers, resultando na entrega de novos tipos de malware, como RayInitiator e LINE VIPER. Essas falhas, CVE-2025-20362 e CVE-2025-20333, possuem pontuações CVSS de 6.5 e 9.9, respectivamente, e permitem a execução de código malicioso em dispositivos vulneráveis. Além disso, o grupo de espionagem cibernética Nimbus Manticore, alinhado ao Irã, ampliou suas operações para atacar infraestruturas críticas na Europa, utilizando variantes de malware como MiniJunk e MiniBrowse. Outro ponto alarmante foi a campanha de DDoS do botnet ShadowV2, que visa contêineres Docker mal configurados na AWS, transformando ataques em um negócio por encomenda. Em resposta a essas ameaças, a Cloudflare conseguiu mitigar um ataque DDoS recorde, que atingiu 22.2 Tbps. Por fim, vulnerabilidades em servidores da Supermicro foram identificadas, permitindo a instalação remota de firmware malicioso, o que representa um risco elevado para a segurança de dados. As organizações devem priorizar a aplicação de patches e a revisão de suas configurações de segurança para evitar compromissos.

A Cloudflare, empresa de segurança e redes, conseguiu mitigar um ataque DDoS que atingiu o pico recorde de 22,2 terabits por segundo (Tbps) e 10,6 bilhões de pacotes por segundo (Bpps). O ataque, que durou apenas 40 segundos, é considerado o maior já registrado na história da internet. Este tipo de ataque visa sobrecarregar sistemas e recursos de rede, tornando serviços lentos ou indisponíveis. A Cloudflare já havia neutralizado um ataque anterior de 11,5 Tbps há três semanas, e um de 7,3 Tbps dois meses antes. O tráfego gerado pelo ataque recente foi comparado a transmitir um milhão de vídeos em 4K simultaneamente. A identidade da vítima não foi divulgada, mas a botnet AISURU, que infectou mais de 300.000 dispositivos, é apontada como responsável pelos ataques. Essa botnet tem como alvo dispositivos como câmeras IP e roteadores, aumentando sua atividade desde abril de 2025, após uma atualização comprometida de firmware de roteadores Totolink. O aumento de 358% nos ataques DDoS em 2025 destaca a crescente preocupação com a segurança cibernética.

O relatório Gcore Radar, publicado em setembro de 2025, revela um aumento alarmante de 41% no volume total de ataques DDoS em comparação ao ano anterior, com um pico de ataque atingindo 2,2 Tbps. O número total de ataques subiu de 969 mil no segundo semestre de 2024 para 1,17 milhão no primeiro semestre de 2025. Além do aumento em volume, os ataques estão se tornando mais sofisticados, com durações mais longas e estratégias em múltiplas camadas, refletindo uma mudança nos setores-alvo. O setor de tecnologia agora é o mais atacado, superando o de jogos, enquanto os serviços financeiros continuam a ser alvos frequentes devido ao seu alto potencial de interrupção. Os ataques de camada de aplicação também estão em ascensão, representando 38% do total, um aumento significativo em relação a 28% no final de 2024. O relatório destaca a necessidade urgente de defesas proativas e adaptativas para enfrentar essa nova realidade de cibersegurança.

Pesquisadores de cibersegurança revelaram detalhes sobre a nova botnet ShadowV2, que permite a locação de acesso para realizar ataques de negação de serviço distribuído (DDoS). Essa botnet, identificada pela empresa Darktrace, foca principalmente em containers Docker mal configurados em servidores da Amazon Web Services (AWS). O malware, escrito em Go, transforma sistemas infectados em nós de ataque, integrando-os a uma rede maior de DDoS. A campanha utiliza um framework de comando e controle (C2) baseado em Python, hospedado no GitHub Codespaces, e se destaca pela sofisticação de suas ferramentas de ataque, incluindo métodos avançados como HTTP/2 Rapid Reset e bypass do modo Under Attack da Cloudflare.

A Cloudflare anunciou a mitigação do maior ataque DDoS já registrado, que atingiu picos de 22,2 terabits por segundo (Tbps) e 10,6 bilhões de pacotes por segundo (Bpps). Este ataque, que mais que dobrou o recorde anterior de 11,5 Tbps, durou apenas 40 segundos e utilizou uma estratégia de múltiplos vetores, combinando inundações volumétricas e exploração de protocolos. A rapidez e a intensidade do ataque destacam a crescente capacidade dos atores maliciosos e suas botnets, levantando questões sobre a resiliência da infraestrutura da internet. A Cloudflare conseguiu neutralizar o ataque sem intervenção humana, utilizando detecção de anomalias baseada em aprendizado de máquina e mecanismos automatizados de filtragem. A magnitude deste evento exige que as organizações reavaliem suas estratégias de segurança, considerando se seus provedores têm a capacidade de suportar ataques em velocidade de máquina. Com a evolução das táticas de ataque, a adoção de defesas automatizadas e entregues na borda se torna essencial para garantir a continuidade dos negócios.

Um ataque DDoS sem precedentes, com pico de 1,5 bilhão de pacotes por segundo, foi detectado e mitigado pela FastNetMon. O ataque, que visou um fornecedor de mitigação DDoS na Europa Ocidental, utilizou dispositivos IoT e roteadores MikroTik comprometidos, abrangendo mais de 11.000 redes ao redor do mundo. O tráfego malicioso foi predominantemente um flood UDP, e a resposta rápida da FastNetMon permitiu que a empresa alvo resistisse ao ataque sem interrupções visíveis em seus serviços. Pavel Odintsov, fundador da FastNetMon, alertou que esse evento é parte de uma tendência perigosa, onde dispositivos de consumo podem ser facilmente sequestrados para realizar ataques em larga escala. A empresa enfatizou a necessidade de filtragem em nível de ISP para prevenir futuros ataques dessa magnitude. O incidente segue um ataque volumétrico anterior, que alcançou 11,5 Tbps, destacando um aumento nas inundações de pacotes e largura de banda, o que pressiona as capacidades das plataformas de mitigação em todo o mundo.

Em 1º de setembro de 2025, a Qrator.AntiDDoS conseguiu neutralizar um dos maiores ataques de negação de serviço distribuído (DDoS) da camada 7 já registrados, que envolveu 5,76 milhões de endereços IP únicos. O alvo foi uma organização do setor público, e o ataque ocorreu em duas ondas distintas. A primeira onda, com 2,8 milhões de dispositivos comprometidos, lançou um ataque de inundação HTTP, enquanto uma segunda onda, com cerca de 3 milhões de dispositivos, se juntou uma hora depois para intensificar o ataque. A Qrator bloqueou todos os IPs maliciosos, garantindo a continuidade dos serviços. Desde sua primeira aparição em março de 2025, a botnet cresceu rapidamente, com um aumento de 25% em três meses, sendo o Brasil o maior contribuinte, seguido por países como Vietnã e Estados Unidos. A botnet utiliza técnicas avançadas para contornar medidas de mitigação, ajustando dinamicamente os cabeçalhos das requisições e alternando entre ataques de alta intensidade e tráfego sustentado para esgotar os recursos dos servidores. Especialistas alertam que a rápida evolução dessa botnet exige que as organizações adotem estratégias de defesa em múltiplas camadas para se proteger contra esses ataques.