No dia 24 de outubro de 2025, a infraestrutura cloud da Microsoft Azure enfrentou e mitigou automaticamente o maior ataque DDoS (Distributed Denial of Service) alguma vez registado em ambiente cloud. Este evento marca um novo capítulo na escalada das ciberameaças volumétricas e demonstra tanto a sofisticação crescente dos cibercriminosos quanto a resiliência das defesas empresariais modernas.
Dimensões Record do Ataque
O ataque atingiu impressionantes 15,72 terabits por segundo (Tbps) e quase 3,64 mil milhões de pacotes por segundo, tendo como alvo um único endpoint IP público localizado na Austrália. Para contextualizar a magnitude desta ameaça, imagine transmitir simultaneamente cerca de 3,5 milhões de filmes em qualidade 4K por segundo, essa é a quantidade de dados que inundou o sistema.
A Dolutech sublinha que este ataque não representa apenas um marco estatístico, mas um alerta crítico sobre o estado atual da segurança cibernética global. O Azure DDoS Protection detetou e mitigou automaticamente o ataque multivetor, mantendo a disponibilidade ininterrupta dos serviços para todos os clientes Azure.
Botnet Aisuru: A Ameaça por Trás do Ataque
O ataque teve origem na botnet Aisuru, classificada como uma botnet “Turbo Mirai” que compromete principalmente routers domésticos e câmaras de segurança em ISPs residenciais. Esta não foi a primeira demonstração de força da Aisuru, a mesma botnet já havia protagonizado outros ataques devastadores ao longo de 2025.
Evolução e Capacidade Destrutiva
A botnet expandiu-se dramaticamente em abril de 2025 após comprometer um servidor de atualização de firmware da TotoLink, infectando aproximadamente 100.000 dispositivos num curto espaço de tempo. Atualmente, estima-se que a Aisuru controle entre 300.000 a 700.000 dispositivos IoT comprometidos em todo o mundo.
A cronologia de ataques da Aisuru em 2025 revela uma progressão alarmante:
Junho 2025: 6,3 Tbps contra o site KrebsOnSecurity
Setembro 2025: 22,2 Tbps contra uma empresa de infraestrutura de rede europeia, bloqueado pela Cloudflare
Outubro 2025: 15,72 Tbps contra o Azure
Anatomia Técnica do Ataque
Neste artigo do Blog Dolutech, vamos dissecar as características técnicas que tornaram este ataque particularmente eficaz e desafiador.
Vetores de Ataque Utilizados
O ataque envolveu floods UDP de alta taxa com mais de 500.000 endereços IP de origem únicos, utilizando spoofing mínimo e portas de origem aleatórias. Esta abordagem tem vantagens estratégicas para os atacantes:
Rastreabilidade Simplificada para ISPs: Paradoxalmente, o spoofing mínimo facilita a identificação e bloqueio por parte dos fornecedores de serviços.
Rajadas Súbitas: Explosões repentinas de tráfego UDP maximizam o impacto inicial antes das defesas reagirem.
Distribuição Geográfica: Os IPs de origem espalhados por múltiplas regiões dificultam o bloqueio baseado em geolocalização.
Exemplo de Padrão de Tráfego UDP Flood
Origem: 203.0.113.x (500.000+ IPs únicos)
Destino: [IP Público Azure na Austrália]
Protocolo: UDP
Portas de Origem: Aleatórias (variação constante)
Taxa de Pacotes: 3,64 bilhões pps
Largura de Banda: 15,72 Tbps
Duração: ~10 minutos (rajadas sustentadas)Mitigação Automática do Azure DDoS Protection
A resposta da Microsoft demonstra a eficácia de sistemas de mitigação DDoS de próxima geração. Utilizando a infraestrutura distribuída globalmente do Azure DDoS Protection e capacidades de deteção contínua, as medidas de mitigação foram iniciadas automaticamente, filtrando e redirecionando eficazmente o tráfego malicioso.
Arquitetura de Defesa em Camadas
A proteção DDoS moderna emprega múltiplas estratégias:
Filtragem de Tráfego na Edge: Bloqueio de pacotes UDP não relacionados com DNS na periferia da rede
Rate Limiting Adaptativo: Ajuste dinâmico dos limites de taxa baseado em padrões de tráfego legítimo
Scrubbing Centers Distribuídos: Centros de limpeza de tráfego espalhados geograficamente para capacidade massiva
Machine Learning: Análise comportamental para distinguir tráfego legítimo de malicioso
Vulnerabilidades IoT: O Calcanhar de Aquiles
Nós, na comunidade de cibersegurança, observamos que a botnet visa vulnerabilidades em câmaras IP, DVRs/NVRs, chips Realtek e routers de marcas como T-Mobile, Zyxel, D-Link e Linksys. A proliferação de dispositivos IoT pobremente protegidos cria um arsenal permanente para cibercriminosos.
Vetores de Compromisso Comuns
Os dispositivos IoT tornam-se parte de botnets através de:
Credenciais Padrão: Utilizadores que não alteram passwords de fábrica
Firmware Desatualizado: Dispositivos sem patches de segurança críticos
Serviços Expostos: Telnet, SSH e UPnP desnecessariamente acessíveis
Zero-Days: Exploração de vulnerabilidades desconhecidas, como a que afetou routers cnPilot da Cambium Networks
Como Proteger Dispositivos IoT e Routers Domésticos
A Dolutech recomenda uma abordagem de defesa em profundidade para proteger infraestruturas residenciais e empresariais:
1. Configuração Segura Inicial
# Exemplo de hardening básico de router (via SSH)
# Alterar password padrão
passwd
# Desativar serviços desnecessários
/etc/init.d/telnetd stop
/etc/init.d/upnp stop
# Atualizar firmware
wget https://vendor.com/latest-firmware.bin
sysupgrade -n latest-firmware.bin2. Segmentação de Rede
Implemente VLANs para isolar dispositivos IoT:
VLAN 10: Rede principal (computadores, smartphones)
VLAN 20: Dispositivos IoT (câmaras, sensores)
VLAN 30: Dispositivos convidados
Esta separação impede que um dispositivo IoT comprometido aceda a recursos críticos da rede.
3. Monitorização Ativa
Configure alertas para detetar comportamentos anómalos:
- Tráfego de saída suspeito (>50 pacotes/segundo de dispositivos IoT)
- Conexões a IPs desconhecidos
- Tentativas de login falhadas
- Utilização anómala de CPU/memória
4. Firewall e Rate Limiting
Implemente regras de firewall restritivas:
# iptables: Limitar pacotes UDP de saída por dispositivo IoT
iptables -A OUTPUT -p udp -m limit --limit 50/sec --limit-burst 100 -j ACCEPT
iptables -A OUTPUT -p udp -j DROP
# Bloquear portas comumente exploradas
iptables -A INPUT -p tcp --dport 23 -j DROP # Telnet
iptables -A INPUT -p tcp --dport 5555 -j DROP # Android DebugContexto Regulamentar Europeu
No contexto português e europeu, este ataque reforça a urgência de conformidade com as diretivas NIS2 e DORA. A NIS2 (Network and Information Security Directive 2) estabelece requisitos rigorosos para resiliência cibernética de entidades críticas, incluindo capacidade de resposta a incidentes DDoS de grande escala.
Organizações sujeitas à NIS2 devem:
- Implementar sistemas de deteção e mitigação DDoS automatizados
- Realizar testes regulares de resiliência (simulações de ataque)
- Manter capacidade de resposta 24/7
- Reportar incidentes significativos ao CNCS (Centro Nacional de Cibersegurança)
Perspetivas Futuras e Recomendações
A escalada de ataques DDoS não mostra sinais de desaceleração. A Cloudflare revelou em julho que o número de ataques DDoS bloqueados no primeiro semestre de 2025 já excedeu todos os ataques mitigados em 2024, indicando uma tendência explosiva.
Ações Imediatas para Organizações
Avaliar Proteção DDoS Atual: Verificar se a capacidade instalada suporta ataques multi-Tbps
Auditar Dispositivos IoT: Inventariar e proteger todos os endpoints vulneráveis
Implementar Zero Trust: Adotar arquiteturas que não confiam automaticamente em nenhum dispositivo
Treinar Equipas: Preparar SOCs para responder a incidentes de grande escala
Estabelecer Parcerias: Considerar serviços de mitigação DDoS especializados (Cloudflare, Azure DDoS Protection, Akamai)
Conclusão
O ataque de 15,72 Tbps contra o Azure não é apenas um recorde estatístico, é um prenúncio da nova realidade da guerra cibernética. A botnet Aisuru demonstrou que dispositivos IoT aparentemente inofensivos podem ser transformados em armas digitais devastadoras.
A defesa eficaz exige uma combinação de tecnologia avançada, vigilância constante e higiene cibernética rigorosa. Como demonstrado pelo Azure, investimentos em proteção DDoS automatizada e distribuída globalmente não são luxo, mas necessidade crítica para qualquer organização com presença digital significativa.
Nós, profissionais de cibersegurança, devemos encarar este incidente como um chamado à ação: auditar, proteger e monitorizar cada dispositivo conectado, porque na era das botnets IoT, o elo mais fraco da cadeia pode estar na câmara de segurança ou no router doméstico que consideramos trivial.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.