Il mondo della cybersicurezza ha registrato un nuovo inquietante primato: un attacco DDoS di proporzioni senza precedenti ha raggiunto la velocità di 7,3 terabit per secondo, stabilendo un record che supera ogni precedente tentativo di sabotaggio digitale. L'episodio, neutralizzato dai sistemi di protezione di Cloudflare, ha coinvolto il trasferimento di 37,4 terabyte di dati spazzatura verso un singolo bersaglio in appena 45 secondi. Per comprendere la portata di questo evento, è sufficiente considerare che la quantità di informazioni trasferita equivale a oltre 9.350 film in alta definizione, più di 9 milioni di brani musicali o 12,5 milioni di fotografie digitali.
La sofisticata struttura dell'attacco emerge dall'analisi delle tecniche impiegate dai cybercriminali, che hanno orchestrato una combinazione letale di metodologie diverse per massimizzare l'impatto. Gli aggressori hanno sfruttato principalmente il protocollo UDP (User Datagram Protocol), una scelta strategica che ha permesso loro di raggiungere velocità di trasmissione estreme. A differenza del più comune protocollo TCP, l'UDP non richiede la fase di "handshake" tra i dispositivi comunicanti, inviando immediatamente i dati senza attendere conferme di ricezione.
Questa caratteristica del protocollo UDP, che lo rende ideale per applicazioni in tempo reale come streaming video, gaming online e videoconferenze, si trasforma in un'arma a doppio taglio nelle mani dei malintenzionati. I cybercriminali hanno potuto bombardare simultaneamente tutte le porte del sistema bersaglio, costringendolo a rispondere a ogni singola richiesta fino al completo esaurimento delle risorse disponibili. L'efficacia di questa tecnica si amplifica quando il volume di traffico raggiunge le proporzioni registrate in questo attacco.
Parallelamente all'attacco principale, gli aggressori hanno implementato una strategia di attacchi riflessi per amplificare ulteriormente l'impatto dell'operazione. Questa metodologia, nota anche come reflection/amplification attack, prevede la falsificazione dell'indirizzo IP della vittima per richiedere informazioni a server terzi. I servizi coinvolti spaziano dal Network Time Protocol fino ai protocolli Quote of the Day (QOTD) ed Echo, tutti ignari di partecipare inconsapevolmente all'attacco.
Il meccanismo è tanto semplice quanto devastante: i server terzi, ricevendo le richieste apparentemente legittime, inviano le risposte direttamente al sistema della vittima. Moltiplicando questo processo per migliaia di richieste simultanee, il traffico di risposta può facilmente sopraffare anche infrastrutture ben protette. La combinazione di attacchi UDP diretti e tecniche di riflessione ha creato un effetto moltiplicatore che ha contribuito al raggiungimento del record storico.
L'episodio si inserisce in un preoccupante trend di escalation che caratterizza il panorama delle minacce informatiche degli ultimi anni. Microsoft aveva subito un attacco da 3,47 Tbps nel gennaio 2022, superato nell'ottobre 2024 da un assault da 5,6 Tbps contro un provider internet dell'Asia orientale, mentre lo scorso aprile si è raggiunto un nuovo picco con un attacco da 6,5 Tbps durato quasi 49 secondi, anch'esso documentato da Cloudflare.
Dietro questi numeri record si nasconde un sistema economico che rende gli attacchi DDoS uno strumento sempre più accessibile per i criminali informatici. Le botnet moderne possono contare su decine, se non centinaia di migliaia di dispositivi compromessi, trasformando computer, smartphone e dispositivi IoT inconsapevoli in armi digitali. Questo approccio distribuito non solo amplifica la potenza d'attacco, ma rende anche più difficile l'identificazione e la neutralizzazione delle fonti.
Il modello di business criminale si basa sulla relativa semplicità ed economicità di questi attacchi, spesso utilizzati come strumento di test delle difese di un bersaglio o come mezzo di estorsione digitale. Molte organizzazioni si trovano costrette a pagare somme considerevoli per evitare di diventare vittime di questi attacchi, alimentando un circolo vizioso che incentiva ulteriormente l'attività criminale. L'evento registrato da Cloudflare rappresenta un campanello d'allarme per l'intero settore digitale, evidenziando come le capacità offensive dei cybercriminali continuino a evolversi a ritmi vertiginosi.