Cloudflare zei dinsdag dat het automatisch een record-setting volumetrische gedistribueerde Denial-of-Service (DDOS) -aanval heeft beperkt die een piek bereikte bij 11,5 terabits per seconde (TBPS).
“In de afgelopen weken hebben we honderden hyper-volumetrische DDOS-aanvallen autonoom geblokkeerd, met de grootste bereikbare pieken van 5,1 bpps en 11,5 tbps,” zei de webinfrastructuur- en beveiligingsmaatschappij in een post over X. “De 11,5 tbps-aanval was een UDP-overstroming die voornamelijk uit Google Cloud kwam.”
De hele aanval duurde slechts ongeveer 35 seconden, waarbij het bedrijf verklaarde dat zijn “verdedigingen overuren hebben gewerkt.”
Volumetrische DDOS -aanvallen zijn ontworpen om een doelwit te overweldigen met een tsunami van verkeer, waardoor de server vertraging of zelfs faalt. Deze aanvallen resulteren meestal in netwerkcongestie, pakketverlies en verstoringen van services.
Dergelijke aanvallen worden vaak uitgevoerd door de verzoeken van botnets te verzenden die al onder controle zijn van de dreigingsacteurs nadat ze de apparaten hebben geïnfecteerd, of het nu gaat om computers, IoT -apparaten en andere machines, met malware.
“De eerste impact van een volumetrische aanval is het creëren van congestie die de prestaties van netwerkverbindingen met internet, servers en protocollen afbreekt, die mogelijk storingen veroorzaken,” zegt Akamai in een verklaring.
“Aanvallers kunnen echter ook volumetrische aanvallen gebruiken als een cover voor meer geavanceerde exploits, die we” rookscherm “-aanvallen noemen. Als beveiligingsteams werken ijverig om de volumetrische aanval te verminderen, kunnen aanvallers aanvullende aanvallen lanceren (multi-vector) waarmee ze zich in staat stelt om nauw netwerk te stelen, overdracht van fondsen, toegang tot hoog-value-accounts, of gevolg van verdere onderzoek.”
De ontwikkeling komt iets meer dan twee maanden nadat Cloudflare zei dat het half mei 2025 een DDOS-aanval blokkeerde die een piek van 7,3 tbps richtte op een niet nader genoemde hostingprovider.
In juli 2025 zei het bedrijf ook dat hyper-volumetrische DDOS-aanvallen-L3/4 DDOS-aanvallen van meer dan 1 miljard pakketten per seconde (BPPS) of 1 TBPS-omhoogschoten in het tweede kwartaal van 2025, waarbij een nieuw hoogtepunt van 6.500 werd geschaald in vergelijking met 700 hyper-volumetrische DDOS-aanvallen in Q1 2025.
De ontwikkeling komt als Bitsight de RapperBot Kill -keten gedetailleerd, die richt op netwerkvideo -recorders (NVR’s) en andere IoT -apparaten om ze in te schakelen in een botnet dat in staat is DDOS -aanvallen uit te voeren. De Botnet -infrastructuur werd vorige maand verwijderd als onderdeel van een wetshandhavingsoperatie.
In de aanval die wordt gedocumenteerd door het Cybersecurity Company, zouden de dreigingsactoren beveiligingsfouten in NVR’s hebben geëxploiteerd om initiële toegang te krijgen en de volgende fase RapperBot-lading te downloaden door een externe NFS-bestandssysteem te monteren (“104.194.9 (.) 127”) en het uit te voeren.
Dit wordt bereikt door middel van een pad -traversale fout in de webserver om de geldige beheerdersreferenties te lekken en vervolgens te gebruiken om een nep -firmware -update te pushen die een set BASH -opdrachten uitvoert om het aandeel op te monteren en de rapperbot binary uit te voeren op basis van de systeemarchitectuur.
“Geen wonder dat de aanvallers ervoor kiezen om NFS Mount te gebruiken en uit dat aandeel uit te voeren, deze NVR -firmware is extreem beperkt, dus het monteren van NFS is eigenlijk een zeer slimme keuze,” zei beveiligingsonderzoeker Pedro Umbelino. “Natuurlijk betekent dit dat de aanvallers dit merk grondig moesten onderzoeken en modelleren en een exploit moeten ontwerpen die onder deze beperkte omstandigheden zou kunnen werken.”
De malware verkrijgt vervolgens de DNS TXT-records die zijn gekoppeld aan een set hardgecodeerde domeinen (“Iranistrash (.) Libre” en “Pool.RentcheApcars (.) SBS” om de werkelijke lijst van werkelijke command-and-control (C2) server IP-adressen te krijgen.
De C2 IP-adressen worden op hun beurt toegewezen aan een C2-domein waarvan de volledig gekwalificeerde domeinnaam (FQDN) wordt gegenereerd met behulp van een vereenvoudigd domeingeneratie-algoritme (DGA) dat bestaat uit een combinatie van vier domeinen, vier subdomeinen en twee topniveau-domeinen (TLD’s). De FQDN’s worden opgelost met behulp van hardgecodeerde DNS-servers.
RapperBot legt uiteindelijk een gecodeerde verbinding tot stand met het C2 -domein met een geldige DNS TXT -recordbeschrijving, van waaruit het de opdrachten ontving die nodig zijn om DDoS -aanvallen te starten. De malware kan ook worden geboden om het internet te scannen op open poorten om de infectie verder te verspreiden.
“Hun methodologie is eenvoudig: scan het internet op oude edge-apparaten (zoals DVR’s en routers), brute-force of exploiteren en laat ze de botnet malware uitvoeren,” zei Bitsight. “Er is geen doorzettingsvermogen nodig, scannen en infecteren steeds opnieuw. Omdat de kwetsbare apparaten daar nog steeds worden blootgesteld en ze gemakkelijker te vinden zijn dan ooit tevoren.”
Update
In een vervolgpost op X zei Cloudflare dat de aanval van 11,5 tbps in feite afkomstig was van een combinatie van verschillende IoT- en cloudproviders, en de Google Cloud was slechts een van de vele bronnen.
“Verdediging tegen deze aanvalsklasse is een voortdurende prioriteit voor ons, en we hebben talloze sterke verdedigingen ingezet om gebruikers veilig te houden, waaronder robuuste DDOS -detectie- en mitigatiemogelijkheden,” vertelde een woordvoerder van Google aan The Hacker News. “Onze misbruik verdedigden de aanval en we hebben het juiste protocol gevolgd in de kennisgeving en het antwoord van de klant. Eerste rapporten die suggereren dat het grootste deel van het verkeer afkomstig was van Google Cloud zijn niet nauwkeurig.”
(Het verhaal werd na publicatie bijgewerkt met een reactie van Google.)
