Cloudflare ha annunciato di aver mitigato un attacco DDoS senza precedenti, con un picco di 22,2 terabit al secondo (Tbps) e 10,6 miliardi di pacchetti al secondo (Bpps). L’incidente, durato circa 40 secondi, ha confermato la tendenza crescente verso assalti sempre più intensi e sofisticati, capaci di mettere a dura prova anche le infrastrutture più robuste. Secondo l’azienda, il volume di traffico generato equivaleva allo streaming simultaneo di un milione di video in 4K, mentre il tasso di pacchetti corrispondeva a circa 1,3 refresh di pagina web per ogni abitante del pianeta, ogni secondo.
Cosa leggere
Dettagli dell’attacco record
Nonostante la brevità dell’attacco, la scala è stata tale da saturare firewall, router e load balancer tradizionali. Cloudflare ha sfruttato la propria rete globale distribuita su migliaia di server per assorbire e filtrare il traffico malevolo in tempo reale, proteggendo i clienti senza downtime. La mitigazione è stata possibile grazie a algoritmi di machine learning capaci di individuare pattern anomali e bloccare pacchetti sospetti con latenza minima. L’attacco ha seguito uno schema tipico degli assalti volumetrici: inondare il target con pacchetti UDP e flood HTTP, amplificati da dispositivi compromessi. L’obiettivo era saturare le risorse di rete della vittima e renderne i servizi inaccessibili. Cloudflare, che gestisce terabit di traffico quotidianamente, ha neutralizzato l’assalto senza conseguenze operative per i clienti.
Confronto con incidenti precedenti
Questo episodio eclissa i record recenti. Tre settimane fa Cloudflare aveva mitigato un attacco da 11,5 Tbps e 5,1 Bpps, considerato all’epoca il più grande mai reso pubblico. Solo due mesi prima, l’azienda aveva fronteggiato un assalto da 7,3 Tbps, mentre già in aprile aveva segnalato un incremento record nel numero complessivo di attacchi DDoS del 2025. L’evoluzione appare esponenziale: dal picco di 7,3 Tbps si è passati in pochi mesi a oltre 22 Tbps, con un raddoppio del tasso di pacchetti da 5,1 a 10,6 Bpps. Una crescita che dimostra non solo l’espansione delle capacità offensive dei gruppi criminali, ma anche la necessità di sistemi di difesa scalabili e aggiornati.
Possibile origine dal botnet AISURU
Secondo la divisione di ricerca XLab di Qi’anxin, il precedente attacco da 11,5 Tbps sarebbe stato orchestrato dal botnet AISURU, che ha infettato oltre 300.000 dispositivi a livello globale. Sebbene Cloudflare non abbia confermato l’attribuzione per l’ultimo record, diversi indicatori suggeriscono pattern simili. AISURU avrebbe tratto origine dal compromesso di un server di aggiornamento firmware Totolink avvenuto nell’aprile 2025, che ha permesso la propagazione del malware su router, videocamere IP, DVR/NVR e dispositivi con chip Realtek. L’uso di device vulnerabili e non aggiornati, spesso esposti a Internet senza adeguate protezioni, ha fornito la base per attacchi di potenza crescente. La botnet sfrutta moduli DDoS avanzati e server di comando distribuiti, rendendo difficile il takedown e favorendo la resilienza contro i tentativi di blocco.
Trend in crescita degli attacchi DDoS
Cloudflare segnala che gli attacchi DDoS di grande portata non sono più eventi isolati, ma una tendenza consolidata. L’aumento della connettività IoT, unito alla diffusione del 5G, moltiplica le superfici di attacco e amplifica la capacità di generare traffico massiccio. Gli attori criminali evolvono rapidamente le proprie tattiche, combinando UDP amplification, flood HTTP e attacchi a livello applicativo, spesso in modalità multi-vettore. A questo si aggiunge la diffusione del modello cybercrime-as-a-service, che permette a chiunque di “affittare” botnet e lanciare assalti contro obiettivi specifici. Cloudflare prevede che nuovi record saranno stabiliti nei prossimi mesi, spingendo i provider a investire ulteriormente in intelligenza artificiale, edge computing e partnership con gli ISP per assorbire il traffico malevolo il più a monte possibile.
Implicazioni per la cybersecurity
L’attacco da 22,2 Tbps sottolinea la fragilità delle infrastrutture digitali globali di fronte a offensive sempre più sofisticate. Per le aziende, significa la necessità di rafforzare le proprie posture difensive: aggiornare regolarmente dispositivi IoT, implementare firewall applicativi, segmentare le reti e adottare sistemi di rilevamento proattivo. Sul piano regolatorio, governi e istituzioni potrebbero intensificare gli obblighi di reporting sugli attacchi DDoS, mentre i provider di servizi cloud e hosting dovranno garantire standard di resilienza sempre più elevati. L’impatto economico degli attacchi, che possono tradursi in perdite di fatturato, reputazione e fiducia dei clienti, rende urgente un approccio collaborativo tra pubblico e privato.
