AISURU/Kimwolfi robotvõrk
Hajutatud teenusetõkestamise (DDoS) botnet, mida jälgitakse nime all AISURU/Kimwolf, on seostatud enneolematu rünnakuga, mille tippkiirus oli 31,4 terabitti sekundis (Tbps). Vaatamata äärmisele intensiivsusele oli rünnak lühike, kestes vaid 35 sekundit. Intsident leidis aset 2025. aasta novembris ja on nüüdseks suurim kunagi vaadeldud DDoS-rünnak.
Sisukord
Hüpermahuliste HTTP-rünnakute sagenemine
Turvauurijad on tuvastanud selle sündmuse osana laiemast hüpermahulise HTTP DDoS-tegevuse hüppest, mida ajendas AISURU/Kimwolf 2025. aasta neljandas kvartalis. Need rünnakud esindavad kasvavat suundumust lühiajaliste, kuid erakordselt suure läbilaskevõimega rünnakute poole, mille eesmärk on üle koormata tänapäevane internetiinfrastruktuur enne, kui traditsioonilised kaitsemehhanismid saavad täielikult reageerida.
Kampaania “Öö enne jõule”
AISURU/Kimwolf on seotud ka hilisema laiaulatusliku operatsiooniga nimega „Öö enne jõule“ (The Night Before Christmas), mis algas 19. detsembril 2025. Selle kampaania ajal ulatusid hüpermahulised rünnakud keskmiselt 3 miljardi paketi sekundis (Bpps), 4 Tbps ribalaiuse ja 54 miljoni päringu sekundis (Mrps) ulatuses. Tipptasemed ulatusid 9 Bpps, 24 Tbps ja 205 Mrps-ni, mis rõhutab botneti võimet genereerida püsivaid ja äärmuslikke liiklusmahtusid.
DDoS-tegevuse plahvatuslik kasv 2025. aastal
DDoS-rünnakute aktiivsus kiirenes 2025. aastal dramaatiliselt, suurenedes aastaga 121%. Keskmiselt leevendati automaatselt iga tund 5376 rünnakut. Aastane kogumaht enam kui kahekordistus, ulatudes ligikaudu 47,1 miljoni rünnakuni. Võrgukihi rünnakud moodustasid sellest kasvust olulise osa, leevendades 2025. aastal 34,4 miljonit rünnakut võrreldes 11,4 miljoniga 2024. aastal. Ainuüksi neljandas kvartalis moodustasid võrgukihi rünnakud 78% kõigist DDoS-intsidentidest, mis on 31% rohkem kui eelmisel kvartalil ja 58% rohkem kui 2024. aastal.
Skaala ja sageduse eskalatsioon
2025. aasta viimases kvartalis suurenes hüpermahuliste rünnakute arv eelmise kvartaliga võrreldes 40%, tõustes 1304 juhtumilt 1824 juhtumile. Aasta alguses registreeriti esimeses kvartalis vaid 717 sellist rünnakut. Lisaks sagedusele suurenes märkimisväärselt ka rünnakute ulatus, mille suurus kasvas enam kui 700% võrreldes 2024. aasta lõpus täheldatud laiaulatuslike rünnakutega.
Botnet’i laienemine ohustatud seadmete kaudu
Hinnanguliselt kontrollib AISURU/Kimwolf enam kui kahest miljonist Android-seadmest koosnevat botnetit. Enamik neist on ohustatud, teiste kaubamärkide Android-telerid, mis on salaja registreeritud ja suunatud kodukasutajate puhverserverivõrkude, näiteks IPIDEA, kaudu. Neid puhverserveriteenuseid on ära kasutatud rünnakute päritolu varjamiseks ja liikluse võimendamiseks.
Puhverserveri infrastruktuuri katkemine ja õiguslikud meetmed
Vastuseks neile tegevustele katkestasid eksperdid hiljuti IPIDEA elamute puhverserverivõrgu töö ja algatasid õiguslikke meetmeid kümnete juhtimis- ja juhtimisoperatsioonide ning liikluse puhverserveri jaoks kasutatavate domeenide sulgemiseks. Sulgemine häiris ka IPIDEA domeenide lahendamise võimekust, halvendades oluliselt selle võimet hallata nakatunud seadmeid ja turustada oma puhverserveriteenuseid. Arvukad kontod ja domeenid peatati pärast seda, kui need tuvastati pahavara levitamise ja elamute puhverserverivõrkudele ebaseadusliku juurdepääsu hõlbustajatena.
Pahavara levitamine ja varjatud puhverserveri registreerimine
Juurdlused näitavad, et IPIDEA registreeris seadmeid vähemalt 600 troojaga nakatatud Androidi rakenduse kaudu, mis olid manustanud puhverserveri tarkvaraarenduskomplekte, ning enam kui 3000 troojaga nakatatud Windowsi binaarfaili kaudu, mis olid maskeeritud OneDrive'i sünkroonimistööriistadeks või Windowsi värskendusteks. Lisaks reklaamis Pekingis asuv ettevõte VPN-i ja puhverserveri rakendusi, mis muutsid kasutajate Androidi seadmed vaikselt puhverserveri väljumissõlmedeks ilma kasutaja teadmata või nõusolekuta. Operaatoreid on seostatud ka vähemalt tosina kodukasutajate puhverserveri teenusega, mis esitlesid end seaduslike pakkumistena, edastades lõppkokkuvõttes andmeid IPIDEA kontrollitud tsentraliseeritud infrastruktuurile.
Peamised DDoS-i trendid 2025. aasta 4. kvartalis
Sihitud sektorid, mõjutatud piirkonnad ja rünnakute päritolu: Telekommunikatsiooniteenuse pakkujad ja operaatorid olid enim rünnatud organisatsioonid, millele järgnesid infotehnoloogia, hasartmängude, mängude ja arvutitarkvara sektorid. Enim rünnatud riikide hulka kuulusid Hiina, Hongkong, Saksamaa, Brasiilia, Ameerika Ühendriigid, Ühendkuningriik, Vietnam, Aserbaidžaan, India ja Singapur. Bangladesh osutus suurimaks DDoS-liikluse allikaks, edestades Indoneesiat, teiste silmapaistvate allikate hulka kuulusid Ecuador, Argentina, Hongkong, Ukraina, Taiwan, Singapur ja Peruu.
Kaitsestrateegiate mõju
DDoS-rünnakute keerukus ja ulatus kasvavad kiiresti, ületades kaugelt varem eeldatud piire. See muutuv ohumaastik tekitab tõsiseid väljakutseid organisatsioonidele, kes püüavad traditsiooniliste kaitsemeetoditega sammu pidada. Ettevõtted, mis jätkuvalt tuginevad peamiselt kohapealsetele leevendusseadmetele või nõudmisel töötavatele andmetöötluskeskustele, võivad vajada oma DDoS-kaitsestrateegiate ümberhindamist, et tegeleda hüpermahukate ja lühiajaliste rünnakute tegelikkusega.
