DOJ Derruba os Maiores Botnets IoT do Mundo: 3 Milhões de Dispositivos e DDoS de 31 Tbps
Operação internacional desmantelou 4 botnets que infectaram 3 milhões de câmeras, roteadores e TVs. Ataques DDoS atingiram 31,4 Tbps — recorde absoluto. Seus dispositivos podem ser parte do problema.
Câmeras de segurança, roteadores Wi-Fi, DVRs e smart TVs. Dispositivos que deveriam proteger e entreter estavam, na verdade, sendo usados como armas em ataques cibernéticos de escala sem precedentes. O Departamento de Justiça dos Estados Unidos anunciou em 20 de março a derrubada de quatro botnets massivos que controlavam mais de 3 milhões de dispositivos IoT ao redor do mundo — responsáveis pelo maior ataque DDoS já registrado: 31,4 Terabits por segundo.
Para ter dimensão: 31,4 Tbps é tráfego suficiente para derrubar a infraestrutura de internet de países inteiros.
Os Quatro Botnets: Aisuru, Kimwolf, JackSkid e Mossad
A operação, coordenada entre EUA, Canadá e Alemanha, desmantelou a infraestrutura de comando e controle de quatro botnets interligados:
Aisuru — ativo desde agosto de 2024, emitiu mais de 200 mil comandos de ataque DDoS. Focado em dispositivos IoT tradicionais (câmeras, DVRs, roteadores).
Kimwolf — a variante mais sofisticada, infectou mais de 2 milhões de dispositivos Android (smart TVs, set-top boxes, streaming boxes). Seu diferencial: em vez de escanear a internet aberta, se infiltrava em redes domésticas via proxies residenciais e o Android Debug Bridge (ADB), acessando dispositivos que estavam "protegidos" por firewalls. Ataques médios de 4 Tbps e 3 bilhões de pacotes por segundo.
JackSkid — emitiu mais de 90 mil comandos de ataque, atingindo em média 150 mil vítimas por dia, com pico de 250 mil em 8 de março de 2026.
Mossad — o menor dos quatro, com cerca de 1.000 comandos emitidos, mas integrado à mesma infraestrutura.
Os Números do Recorde
O ataque DDoS mais poderoso registrado, atribuído ao Aisuru/Kimwolf, aconteceu em novembro de 2025 e atingiu:
- 31,4 Terabits por segundo de tráfego — recorde absoluto
- 14 bilhões de pacotes por segundo
- 300 milhões de requisições por segundo
- Duração: 35 segundos (suficiente para causar dano massivo)
Entre os alvos estavam sistemas do Departamento de Defesa dos EUA e infraestrutura crítica de múltiplos países. O modelo de negócio era DDoS-as-a-Service: os operadores vendiam acesso às botnets para outros criminosos, que os usavam para ataques de extorsão.
Quem Estava Por Trás
Dois suspeitos principais foram identificados:
- Jacob Butler ("Dort"), 23 anos, de Ottawa, Canadá — ligado ao Kimwolf
- Um adolescente de 15 anos da Alemanha — identificado como segundo operador principal
Nenhum foi preso até o momento da publicação. A operação focou em destruir a infraestrutura, não em prender os operadores — uma decisão tática comum quando os servidores representam ameaça imediata.
Como a Operação Funcionou
A derrubada foi autorizada judicialmente e envolveu:
- Null-routing de quase 1.000 servidores C2 (comando e controle) pela Lumen Black Lotus Labs — basicamente, redirecionando o tráfego de controle para lugar nenhum
- Apreensão de domínios usados para coordenar os ataques
- Cooperação de 17 empresas de tecnologia, incluindo Akamai, AWS, Cloudflare, DigitalOcean, Google, Nokia, Okta, Oracle e PayPal
O detalhe crucial: os servidores de controle foram desativados, mas os 3 milhões de dispositivos continuam infectados. Sem os comandos do servidor, eles ficam "adormecidos" — mas podem ser reativados se outro operador assumir o controle ou se novos malwares forem instalados.
Por Que Dispositivos IoT São o Alvo Perfeito
A equação é simples e devastadora:
- Credenciais padrão — a maioria dos roteadores, câmeras e DVRs vêm com senhas como "admin/admin" ou "admin/1234" e nunca são alteradas
- Sem atualizações — fabricantes de dispositivos baratos raramente publicam patches de segurança, e quando publicam, usuários não instalam
- Sempre ligados — diferente de computadores, dispositivos IoT ficam conectados 24/7, prontos para receber comandos
- Volume massivo — bilhões de dispositivos IoT no mundo, crescendo exponencialmente
- Invisíveis — ninguém monitora o tráfego de uma câmera de segurança ou DVR
O resultado: um exército de dispositivos aparentemente inofensivos que pode ser mobilizado para derrubar qualquer alvo na internet.
Sua Empresa Pode Estar Contribuindo Para o Problema
A pergunta desconfortável: quantos dispositivos IoT da sua rede estão com firmware desatualizado e senha padrão?
Para empresas que operam câmeras IP, roteadores, access points e outros dispositivos de rede, a ameaça é dupla:
- Seus dispositivos podem ser recrutados para botnets sem que você saiba — e sua empresa pode ser responsabilizada pelo tráfego malicioso que sai da sua rede
- Sua infraestrutura pode ser alvo de ataques DDoS — e com 31 Tbps, poucos serviços sobrevivem sem proteção dedicada
O Que Fazer Agora
Ações imediatas:
- Alterar todas as senhas padrão de roteadores, câmeras, DVRs, access points e qualquer dispositivo IoT
- Atualizar firmware de todos os dispositivos conectados — se o fabricante não oferece mais atualizações, considere substituir o equipamento
- Desativar serviços desnecessários — UPnP, Telnet, SSH externo e Android Debug Bridge devem estar desabilitados se não forem usados
- Segmentar a rede — dispositivos IoT devem estar em uma VLAN separada, sem acesso à rede corporativa principal
- Monitorar tráfego de saída — picos anormais de upload em dispositivos IoT são indicativo de infecção
Proteção contra DDoS:
- Contratar proteção DDoS dedicada (Cloudflare, Akamai, AWS Shield) para serviços críticos
- Configurar rate limiting e geo-blocking quando aplicável
- Ter plano de resposta a incidentes que inclua ataques volumétricos
Conclusão
A derrubada dos botnets Aisuru, Kimwolf, JackSkid e Mossad é uma vitória temporária. Os 3 milhões de dispositivos continuam infectados, os operadores não foram presos, e novos botnets vão surgir enquanto houver bilhões de dispositivos IoT com senhas padrão e sem atualizações. O ataque de 31,4 Tbps é um recorde que será quebrado. Para empresas, a lição é direta: cada câmera, roteador e smart TV na sua rede é um potencial soldado em um exército que você nem sabe que existe. A hora de agir é antes que alguém recrute seus dispositivos.
A CFATECH oferece serviços de segurança cibernética e infraestrutura de TI, incluindo segmentação de rede, hardening de dispositivos IoT e proteção contra ataques DDoS para manter sua empresa segura.
Fontes
- The Hacker News: DoJ Disrupts 3 Million-Device IoT Botnets Behind Record 31.4 Tbps DDoS Attacks
- The Register: Feds disrupt IoT botnets behind record-breaking DDoS attacks
- Help Net Security: Authorities disrupt four IoT botnets behind record DDoS attacks
- Security Affairs: Global law enforcement operation targets AISURU, Kimwolf, JackSkid botnet operators
CFATech Blog
Comentários
Gostou deste conteúdo?
Receba mais artigos como este diretamente no seu e-mail