Una recente scoperta nel campo della sicurezza informatica ha rivelato l'esistenza di una botnet composta da circa 30.000 telecamere e registratori video, la cui concentrazione massima si trova negli Stati Uniti. Secondo un ricercatore di Nokia, questo gruppo di dispositivi sta portando a termine probabilmente il più grande attacco di denial-of-service mai registrato. La notizia giunge da un'indagine condotta dal team Deepfield Emergency Response di Nokia, che ha osservato attacchi massicci provenienti da indirizzi IP geograficamente distribuiti.
Scoperta della botnet Eleven11bot
La botnet, conosciuta con il nome di Eleven11bot, è emersa per la prima volta alla fine di febbraio 2025. I ricercatori hanno notato un aumento allarmante del numero di attacchi definiti “iper-volumetrici”. Questi attacchi hanno avuto un impatto significativo sui servizi online, penetrando nelle reti e saturando le loro capacità per mezzo di assalti massicci. L'Eleven11bot ha continuato a infliggere attacchi di grande portata dalla sua scoperta, dimostrando una capacità di causare interruzioni senza precedenti.
Gli attacchi DDoS volumetrici mirano a saturare i servizi contemporaneamente, occupando l'intera larghezza di banda disponibile nella rete bersaglio o nella sua connessione a Internet. Questa strategia si distingue dagli attacchi di esaurimento, che mirano a sfinire le risorse computazionali di un server. Gli attacchi iper-volumetrici, come quelli condotti dall'Eleven11bot, generano enormi volumi di dati, misurabili in terabit al secondo.
Un record impressionante per il botnet
Con una dimensione di 30.000 dispositivi, l'Eleven11bot rappresentava già una botnet di proporzioni notevoli; tuttavia, gli esperti avvertono che alcune botnet hanno superato anche i 100.000 dispositivi. In una conversazione con il ricercatore di Nokia Jérôme Meyer, è emerso che la maggior parte degli indirizzi IP coinvolti non era mai stata registrata per attacchi DDoS precedenti.
Un'altra caratteristica distintiva di Eleven11bot è l'incredibile volume di dati inviato ai suoi obiettivi. L'attacco più potente osservato finora ha avuto luogo il 27 febbraio, raggiungendo un picco pari a circa 6,5 terabit per secondo. Questo dato ha superato il precedente record di 5,6 terabit per secondo, stabilito nel gennaio 2025.
Settori colpiti e modalità di attacco
L'Eleven11bot ha preso di mira vari settori, inclusi i fornitori di servizi di comunicazione e le infrastrutture di hosting per giochi. Secondo quanto riportato da Meyer, il botnet utilizza diversi vettori di attacco, con alcune operazioni che si basano esclusivamente sulla volumetria dei dati, mentre altre si concentrano sul sovraccarico delle connessioni con un numero di pacchetti molto superiore rispetto a quanto la rete possa gestire. Questi numeri possono variare da centinaia di migliaia fino a centinaia di milioni di pacchetti al secondo.
La degradazione dei servizi provocata da tali attacchi può durare per diversi giorni, con alcune interruzioni che risultano attualmente in corso. L'elettività delle strategie adottate dall'Eleven11bot rende il fenomeno particolarmente preoccupante per le aziende che dipendono dalla continuità dei servizi digitali.
