31,4 Tbps: quando il DDoS diventa “meteo” e l’IoT fa da grandine

Se vi state chiedendo quanto sia grande 31,4 terabit al secondo, la risposta pratica è: abbastanza da far sembrare “un problema di rete” quello che in realtà è un problema di ecosistema.

Perché il punto non è solo il picco (da Guinness dei primati), ma la normalizzazione del mostruoso: attacchi talmente grandi e talmente rapidi da diventare quasi “rumore di fondo”… finché non colpiscono te.

Un record che non è un trofeo, è un avviso di sfratto

Cloudflare ha raccontato di aver mitigato una campagna attribuita al botnet Aisuru (Kimwolf) con due numeri che, messi insieme, fanno venire voglia di spegnere il router e trasferirsi in montagna: 31,4 Tbps a livello L4 e oltre 200 milioni di richieste al secondo (HTTP). Il tutto in una campagna soprannominata “The Night Before Christmas” (perché, ovviamente, ormai anche i criminali fanno branding).

La dinamica è altrettanto “moderna”: più della metà degli attacchi dura 1–2 minuti, e solo una piccola parte supera tempi più lunghi. Tradotto: non è il classico assedio medievale, è una serie di colpi di mazza, corti e ripetuti, progettati per mandare in crisi chi difende “a chiamata” o chi si accorge dell’incendio quando ormai sente odore di plastica fusa.

Il dettaglio che fa più paura: “tutto automatico, nessun allarme”

C’è una frase che vale più del picco: secondo quanto riportato, questi attacchi sarebbero stati rilevati e mitigati automaticamente, senza neppure generare alert urgenti. Non è magia: è la dimostrazione che, oggi, o hai difese sempre-on e capacità di assorbimento a livello di rete, oppure sei tu quello che diventa “case study” nel prossimo report.

E qui arriva la parte scomoda: la “resilienza” non è un prodotto che compri quando serve. È un’impostazione architetturale e operativa. Il DDoS, ormai, non è più “l’evento raro”: è una funzionalità del crimine digitale, disponibile in modalità burst.

L’IoT: il superpotere (marcio) dietro la forza bruta

Aisuru/Kimwolf viene descritto come alimentato da dispositivi IoT e router compromessi; nella campagna citata si parla anche di sorgenti legate a Android TV. E qui non serve fare poesia: se un oggetto connesso costa poco, resta online anni, non aggiorna mai, e vive con credenziali imbarazzanti… non è “smart”, è munizionamento preconfezionato.

Il problema non è solo quanti dispositivi: è che l’IoT si è infilato ovunque case, uffici, retail, hospitality, logistica — e ogni segmento “non gestito” diventa un pezzo di un’arma globale. L’attaccante non deve essere geniale: deve solo aspettare che la somma delle negligenze faccia massa critica.

Non è solo Cloudflare: quando Aisuru bussa al cloud

Per capire che non parliamo di un caso isolato, basta guardare cosa ha raccontato Microsoft: un attacco DDoS multi-vettore contro Azure, con picco 15,72 Tbps e 3,64 miliardi di pacchetti al secondo, attribuito ad Aisuru e originato da oltre 500.000 IP sorgenti. Anche qui: scala enorme, automazione, e una lezione implicita, il cloud non è “immune”, è semplicemente più attrezzato (quando lo configuri e lo paghi per esserlo).

La tendenza 2025: più attacchi, più grandi, più “brevi ma cattivi”

Nel quadro complessivo, i numeri riportati per il 2025 parlano di una crescita netta: 47,1 milioni di attacchi e +121% rispetto al 2024, con una media di 5.376 mitigazioni l’ora e una prevalenza di attacchi network-layer. Nel solo Q4: +31% QoQ e +58% YoY. Settori colpiti: telecom, IT/services, gambling/casino, gaming. E in parallelo: aumento marcato degli attacchi “grossi” (oltre 100 Mpps e oltre 1 Tbps) e una larga fetta di HTTP DDoS attribuibile a botnet note.

Se vi sembra “troppo”, è perché lo è. Ma è anche coerente con un mondo dove la banda cresce, i device proliferano, e la sicurezza degli oggetti connessi resta spesso un optional.

La lezione non è “compra più banda”. La lezione è: il DDoS è diventato un problema di supply chain digitale. Hai due scelte:

1. trattarlo come incidente eccezionale, sperando di non finire nel mirino (spoiler: non funziona);
2. progettare la difesa come se prima o poi arriverà anche a te, perché ormai è statisticamente sensato.

E sì, fa sorridere (male) che servano 31,4 Tbps per ricordarci una cosa banale: se lasciamo milioni di dispositivi insicuri online, poi non possiamo stupirci se qualcuno li usa come clava. Il Natale, a quanto pare, non è più stagione di shopping: è stagione di stress test.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore