KrebsOnSecurity colpita da un attacco DDoS da 6,3 Tbps tramite la botnet Aisuru

KrebsOnSecurity, il noto blog sulla sicurezza informatica gestito dal giornalista investigativo Brian Krebs, è stato recentemente colpito da un massiccio attacco DDoS (Distributed Denial of Service) che ha raggiunto un picco di 6,3 terabit al secondo (Tbps). Si ritiene che l'attacco, uno dei più grandi mai registrati fino ad oggi, abbia avuto origine da una nuova botnet dell'Internet of Things (IoT) chiamata "Aisuru".

L'attacco, durato circa 45 secondi, è stato breve ma potente. Nonostante il volume di traffico diretto al sito, KrebsOnSecurity è rimasto online, protetto da Project Shield di Google , un servizio gratuito progettato per difendere le piattaforme di informazione e giornalismo dagli attacchi informatici.

Secondo Krebs, l'origine dell'attacco era la botnet Aisuru. Gli analisti di sicurezza informatica di QiAnXin XLab avevano inizialmente identificato la botnet nell'agosto 2024, composta principalmente da dispositivi IoT compromessi come router, telecamere IP e videoregistratori digitali. Questi dispositivi sono stati dirottati e trasformati in dispositivi zombie, generando enormi quantità di traffico verso il sito di Krebs in un attacco coordinato.

Il nome "Aisuru" ha iniziato ad apparire nei forum underground all'inizio di quest'anno, associato a servizi DDoS a pagamento . Sebbene sia ancora sotto inchiesta, i primi indicatori suggeriscono che la botnet stesse testando le sue capacità, usando KrebsOnSecurity come obiettivo di alto profilo per dimostrare la sua potenza o inviare un messaggio.

Brian Krebs non è estraneo agli attacchi DDoS. Il suo blog, noto per i suoi approfonditi reportage su gruppi di criminalità informatica e abusi su internet, è stato ripetutamente preso di mira nel corso degli anni. Come riportato da Hackread.com nel 2016 , il suo sito è stato messo offline da un attacco a 620 Gbps alimentato dalla botnet Mirai.

L'incidente del 2025 mostra quanto sia cresciuta la minaccia. Con una velocità di 6,3 Tbps, l'attacco DDoS basato su Aisuru è stato dieci volte più grande dell'attacco del 2016, a dimostrazione sia della portata delle botnet moderne sia delle persistenti vulnerabilità di sicurezza nei dispositivi IoT di fascia consumer.

Sebbene l'attribuzione sia sempre difficile in questi casi, il post sul blog di Kreb che descrive l'attacco indica un individuo noto online come "Forky". L'alias è stato collegato a post di forum che offrono servizi DDoS e noleggio di botnet, e i ricercatori di sicurezza hanno collegato Forky alle chiacchiere su Aisuru.

In una conversazione su Telegram con Krebs, Forky ha negato di aver orchestrato l'attacco contro Krebs, sostenendo invece che qualcun altro potrebbe aver utilizzato la botnet senza il suo coinvolgimento diretto.

Forky ha negato di essere coinvolto nell'attacco, ma ha ammesso di aver contribuito allo sviluppo e alla commercializzazione della botnet Aisuru. Forky afferma di essere ora semplicemente un membro dello staff del team della botnet Aisuru e di aver smesso di gestirla circa due mesi fa, dopo aver messo su famiglia.

Brian Krebs

Attacchi di questa portata rappresentano una minaccia enorme per il futuro delle infrastrutture online. Un attacco da 6,3 Tbps non è una minaccia solo per blog o piccoli siti, ma è sufficiente a mandare offline interi provider di hosting o data center se non viene mitigato. Ricordiamo che l'attacco DDoS a DNS DYN , sferrato tramite la botnet Mirai nell'ottobre 2016, ha avuto un impatto enorme su Internet.

Riaccende inoltre l'attenzione sulla necessità di una maggiore sicurezza nei dispositivi connessi a Internet. A differenza della sua variante Airashi , la maggior parte dell'hardware utilizzato nella botnet di Aisuru è economico, obsoleto e spesso fornito con credenziali deboli o predefinite. Finché i produttori non adotteranno misure concrete per proteggere questi dispositivi, le botnet continueranno a crescere e attacchi come questo diventeranno più comuni.

HackRead continuerà a monitorare gli sviluppi relativi alla botnet Aisuru e a minacce simili man mano che saranno disponibili ulteriori informazioni.