Krebsonsecurity la semana pasada fue golpeado por un ataque de denegación de servicio (DDoS) casi registrado que registró más de 6.3 terabitos de datos por segundo (un terabit es un billón de datos). El breve ataque parece haber sido una prueba para una nueva botnet de Internet de las cosas (IoT) capaces de lanzar asaltos digitales paralizantes que pocos destinos web pueden soportar. Siga leyendo para obtener más información sobre la botnet, el ataque y el aparente creador de esta amenaza global. Como referencia, el ataque de 6.3 TBP la semana pasada fue diez veces el tamaño del asalto lanzado contra este sitio en 2016 por la botnet Mirai IoT, que mantuvo a Krebsonsecurity fuera de línea durante casi cuatro días. El asalto de 2016 era tan grande que Akamai, que estaba proporcionando protección DDOS pro-Bono para Krebsonsecurity en ese momento, me pidió que dejara su servicio porque el ataque estaba causando problemas a sus clientes que pagan. Desde el ataque de Mirai, Krebsonsecurity.com ha estado detrás de la protección de Project Shield, un servicio gratuito de defensa DDOS que Google proporciona a los sitios web que ofrecen noticias, derechos humanos y contenido relacionado con las elecciones. El ingeniero de seguridad de Google, Damian Menscher, dijo a Krebsonsecurity que el ataque del 12 de mayo fue el más grande que Google haya manejado. En términos de gran tamaño, es superado por un ataque muy similar que Cloudflare mitigó y escribió en abril. Después de comparar notas con Cloudflare, Menscher dijo que la botnet que lanzó ambos ataques lleva las huellas digitales de Aisuru, una máquina de asedio digital que surgió por primera vez hace menos de un año. Menscher dijo que el ataque a Krebsonsecurity duró menos de un minuto, lanzando grandes paquetes de datos UDP en puertos aleatorios a una tasa de aproximadamente 585 millones de paquetes de datos por segundo. «Era el tipo de ataque normalmente diseñado para abrumar los enlaces de la red», dijo Menscher, refiriéndose a las conexiones de rendimiento entre varios proveedores de servicios de Internet (ISP). «Para la mayoría de las empresas, este tamaño de ataque los mataría». Un gráfico que representa el ataque de 6.5 Tbps mitigado por Cloudflare en abril de 2025. Imagen: Cloudflare. El Aisuru Botnet comprende una colección de dispositivos IoT pirateados, incluidos enrutadores, grabadoras de video digitales y otros sistemas que se comandan a través de contraseñas predeterminadas o vulnerabilidades de software. Según lo documentado por los investigadores de Qianxin XLAB, el botnet se identificó por primera vez en un ataque de agosto de 2024 en una gran plataforma de juegos. Según los informes, Aisuru se callaron después de esa exposición, solo para reaparecer en noviembre con aún más exploits de potencia de fuego y software. En un informe de enero de 2025, XLAB encontró que el nuevo y mejorado Aisuru (también conocido como «Airashi») había incorporado una vulnerabilidad de día cero previamente desconocida en los enrutadores CNPilot de Cambium Networks. No bifurcar a las personas detrás de la botnet de Aisuru ha estado vendiendo acceso a su máquina DDOS en canales de chat de telegrama público que son monitoreados de cerca por múltiples empresas de seguridad. En agosto de 2024, el botnet se alquiló en niveles de suscripción que van desde $ 150 por día a $ 600 por semana, ofreciendo ataques de hasta dos terabits por segundo. «No puede atacar ninguna pared de medición, instalaciones de atención médica, escuelas o sitios gubernamentales», decía un aviso publicado en Telegram por los propietarios de Botnet de Aisuru en agosto de 2024. Se les dijo a las partes interesadas que contactaran al mango de telegrama «@yfork» para comprar una suscripción. La cuenta @yfork utilizó anteriormente el apodo «Forky», una identidad que ha estado publicando en canales de telegrama público centrados en DDOS desde 2021. Según el FBI, los dominios de DDOS de alquiler de Forky se han incautado en múltiples operaciones de aplicación de la ley durante los años. El año pasado, dijo Forky en Telegram que estaba vendiendo el estresante del dominio[.]Best, que vio a sus servidores incautados por el FBI en 2022 como parte de un esfuerzo de aplicación de la ley internacional en curso destinado a disminuir la oferta y la demanda de servicios DDoS por alquiler. «El operador de este servicio, que se llama a sí mismo ‘Forky’, opera un canal de telegrama para anunciar las características y comunicarse con los clientes de DDOS actuales y potenciales», dice una orden de incautación del FBI (PDF) emitida para Stracter[.]mejor. La orden del FBI declaró que el mismo día en que se anunciaron las incautaciones, Forky publicó un enlace a una historia en este blog que detallaba la operación de la incautación de dominio, agregando el comentario: «Estamos comprando nuestros nuevos dominios en este momento». Una captura de pantalla de la orden de incautación del FBI para los dominios DDOS de alquiler de Forky muestra que Forky anuncia la resurrección de su servicio en nuevos dominios. Aproximadamente diez horas después, Forky publicó nuevamente, incluida una captura de pantalla del estresante[.]El mejor tablero de usuarios, instruyendo a los clientes que usen sus contraseñas guardadas para el sitio web anterior en el nuevo. Una revisión de las publicaciones de Forky a los canales públicos de telegrama, según lo indexado por la Unidad 221B y Flashpoint de firmas de inteligencia cibernética, revela a una persona de 21 años que dice residir en Brasil [full disclosure: Flashpoint is currently an advertiser on this blog]. Desde finales de 2022, las publicaciones de Forky han promovido con frecuencia una compañía de mitigación DDOS e ISP que opera llamada Botshield[.]IO. El sitio web de Botshield está conectado a una entidad comercial registrada en el Reino Unido llamada Botshield Ltd, que enumera a una mujer de 21 años de Sao Paulo, Brasil como directora. Los registros de enrutamiento de Internet indican que BotShield (AS213613) actualmente controla varios cientos de direcciones de Internet que se asignaron a la compañía a principios de este año. DomaTinols.com informa que Botshield[.]IO se registró en julio de 2022 en un Kaike Southier Leite en Sao Paulo. Un perfil de LinkedIn por el mismo nombre dice que este individuo es un especialista en red de Brasil que trabaja en «la planificación e implementación de infraestructuras de red robustas, con un enfoque en la seguridad, la mitigación DDOS, la colocación y los servicios de servidores en la nube». Conoce la imagen forky: Jaclyn Vernace / Shutterstock.com. En sus publicaciones a los canales de chat de telegrama público, Forky apenas ha intentado ocultar su paradero o identidad. En innumerables conversaciones de chat indexadas por la Unidad 221B, se podía ver a Forky hablando de la vida cotidiana en Brasil, a menudo recurriendo a los precios extremadamente bajos o altos en Brasil para una variedad de productos, desde computadora y equipo de redes hasta narcóticos y alimentos. Alcanzado a través de Telegram, Forky afirmó que «no estaba involucrado en este tipo de acciones ilegales durante años», y que el proyecto había sido asumido por otros desarrolladores no especificados. Inicialmente, Forky le dijo a Krebsonsecurity que había estado fuera de la escena de Botnet durante años, solo para admitir que esto no era cierto cuando se presentaba publicaciones públicas en Telegram a fines del año pasado que claramente mostraba lo contrario. Forky negó estar involucrado en el ataque a Krebsonsecurity, pero reconoció que ayudó a desarrollar y comercializar la botnet de Aisuru. Forky afirma que ahora es simplemente un miembro del personal del equipo de Aisuru Botnet, y que dejó de ejecutar la botnet hace aproximadamente dos meses después de comenzar una familia. Forky también dijo que la mujer nombrada directora de Botshield está relacionada con él. Forky ofreció respuestas equívocas y evasivas a una serie de preguntas sobre el Aisuru Botnet y sus esfuerzos comerciales. Pero en un punto era claro: «Tengo cero miedo a ti, al FBI o al Interpol», dijo Forky, afirmando que ahora está casi completamente enfocado en su negocio de alojamiento: Botshield. Forky se negó a discutir la composición de la clientela de su ISP, o para aclarar si Botshield era más un proveedor de alojamiento o una empresa de mitigación DDOS. Sin embargo, Forky ha publicado en Telegram sobre Botshield mitigando con éxito grandes ataques DDoS lanzados contra otros servicios DDoS-Alquilados. DomaTools encuentra la misma dirección de la calle Sao Paulo en los registros de registro de Botshield[.]IO se utilizó para registrar varios otros dominios, incluido Cant-Mitigate[.]a nosotros. La dirección de correo electrónico en los registros de Whois para ese dominio es forkcontato@gmail.com, que según DomainTools se utilizó para registrar el dominio para el servicio DDOS de alquiler ahora desaparecido.[.]EE. UU., Uno de los dominios incautados en la ofensiva 2023 del FBI. El 8 de mayo de 2023, el Departamento de Justicia de los Estados Unidos anunció la incautación de Stresser[.]nosotros, junto con una docena de otros dominios que ofrecen servicios DDoS. El Departamento de Justicia dijo que diez de los 13 dominios fueron reencarnaciones de servicios que fueron incautados durante un barrido anterior en diciembre, que se dirigió a 48 servicios más estrés (también conocidos como «arranque»). Forky afirmó que podía descubrir quién atacó mi sitio con Aisuru. Pero cuando se le presionó un día después, en la pregunta, Forky dijo que vendría con las manos vacías. «Traté de preguntar, todos los grandes no son retrasados ​​lo suficiente como para atacarte», explicó Forky en una entrevista en Telegram. «No tenía nada que ver con eso. Pero puedes escribir la historia e intentar echarme la culpa». El fantasma de Mirai, el ataque de 6.3 tbps la semana pasada no causó interrupción visible en este sitio, en parte porque fue muy breve, que duró aproximadamente 45 segundos. Los ataques DDoS de tal magnitud y brevedad generalmente se producen cuando los operadores de Botnet desean probar o demostrar su potencia de fuego en beneficio de los compradores potenciales. De hecho, el Menscher de Google dijo que es probable que tanto el ataque del 12 de mayo como el ataque ligeramente más grande de 6.5 TBP contra Cloudflare el mes pasado fueran simplemente pruebas de las mismas capacidades de Botnet. En muchos sentidos, la amenaza planteada por el Aisuru/Airashi Botnet es una reminiscencia de Mirai, una innovadora tensión de malware IoT que surgió en el verano de 2016 y compitió con éxito prácticamente todas las otras tensiones de malware IoT que existen en ese momento. Como reveló por primera vez Krebsonsecurity en enero de 2017, los autores de Mirai fueron dos hombres estadounidenses que codifican un servicio de mitigación DDOS, incluso cuando vendían servicios DDOS de alquiler mucho más lucrativos utilizando la botnet más poderosa del planeta. Menos de una semana después de que se usara la botnet de Mirai en un DDOS de un día contra Krebsonsecurity, los autores de Mirai publicaron el código fuente a su botnet para que no fueran los únicos en posesión de ello en caso de su arresto por parte de investigadores federales. Irónicamente, la fuga de la fuente de Mirai es precisamente lo que llevó a la eventual desenmascaramiento y arresto de los autores de Mirai, que cumplieron condenas de libertad condicional que les requirieron consultar con los investigadores del FBI sobre investigaciones de DDoS. Pero esa fuga también condujo rápidamente a la creación de docenas de clones de Botnet Mirai, muchos de los cuales fueron aprovechados para alimentar sus propios servicios DDoS de alquiler. Menscher le dijo a Krebsonsecurity que, por contraintuitante que parecía, Internet en su conjunto probablemente estaría mejor si el código fuente de Aisuru se convirtiera en conocimiento público. Después de todo, dijo, las personas detrás de Aisuru están en constante competencia con otros operadores de botnet IoT que se esfuerzan por comandar un número finito de dispositivos IoT vulnerables a nivel mundial. Tal desarrollo casi seguramente causaría una proliferación de clones de botnet de Aisuru, dijo, pero al menos entonces la potencia de fuego general de cada botnet individual disminuiría en gran medida, o al menos dentro del rango de las capacidades de mitigación de la mayoría de los proveedores de protección de DDoS. Salvo una fuga de código fuente, dijo Menscher, sería bueno si alguien publicara la lista completa de exploits de software utilizados por los operadores de Aisuru para hacer crecer su botnet tan rápido. «Parte de la razón por la que Mirai era tan peligroso fue que efectivamente eliminó botnets competitivos», dijo. «Este ataque de alguna manera logró comprometer todas estas cajas que nadie más sabe. Idealmente, queremos ver eso fragmentado, para que no [individual botnet operator] controla demasiado «.