L’attacco DDoS da 15,72 terabit al secondo che ha colpito Azure rappresenta un nuovo spartiacque nella storia della sicurezza informatica. Non è solo una questione di cifre (pur impressionanti, per non dire da record), ma è anche un indicatore chiaro della direzione in cui stanno evolvendo le minacce contro le infrastrutture cloud. Microsoft ha confermato che il 24 ottobre i propri sistemi di protezione automatica hanno individuato e mitigato in tempo reale un’ondata di traffico che ha toccato i 3,64 miliardi di pacchetti al secondo, impedendo qualsiasi interruzione ai servizi dei clienti.

A generare questa tempesta di pacchetti è stata la botnet Aisuru, una rete criminale relativamente recente ma già tristemente nota per la sua capacità di orchestrare traffici record. Derivata dal codice Mirai e attiva dalla seconda metà del 2024, Aisuru si concentra sull’infezione di router domestici e videocamere IP, sfruttando la scarsa sicurezza dei dispositivi consumer. L’attacco contro Azure ha coinvolto oltre mezzo milione di indirizzi IP distribuiti geograficamente, tutti puntati su un singolo endpoint in Australia. È un dato che conferma quanto l’ecosistema IoT residenziale sia diventato un’enorme superficie di attacco, spesso inconsapevole e difficilissima da proteggere.

Aisuru non è nuova a imprese simili. Nel giugno 2025 ha già colpito KrebsOnSecurity con un attacco da 6,3 Tbps, all’epoca considerato il più grande mai mitigato da Google. Da allora la sua potenza è cresciuta drasticamente e, secondo Netscout, a ottobre la botnet era già in grado di superare i 20 Tbps. L’impennata non sorprende, considerando che ogni nuovo dispositivo connesso, ogni router poco aggiornato, ogni videocamera esposta su Internet può diventare un ingranaggio nella macchina d’attacco. È un modello criminale scalabile per definizione, capace di crescere con la rete stessa.

azure ddos

Nonostante gli operatori di Aisuru sostengano di evitare deliberatamente obiettivi governativi o legati alla sicurezza nazionale, è difficile prendere queste affermazioni sul serio. Si tratta comunque di un servizio di “DDoS-for-hire”, quindi affittabile liberamente da chiunque abbia motivazioni economiche, politiche o puramente vandaliche. Ed è proprio questa disponibilità sul mercato nero a trasformare botnet come Aisuru in strumenti destabilizzanti che diventano un’opzione accessibile anche per attori non particolarmente sofisticati.

Il fenomeno sta già avendo ripercussioni visibili. Cloudflare, ad esempio, è stata costretta a rimuovere dai suoi ranking alcune proprietà web legate ad Aisuru, perché la quantità innaturale di richieste generate dalla botnet stava distorcendo le classifiche dei domini più visitati, superando persino giganti come Amazon o Google. Episodi di questo tipo mostrano quanto il traffico malevolo possa influenzare non solo la disponibilità dei servizi, ma anche metriche e sistemi di analisi che si basano implicitamente sulla buona fede del traffico in ingresso.

Il caso Azure non è un episodio isolato, ma parte di una tendenza consolidata. Nell’ultimo trimestre, Cloudflare ha rilevato un aumento di oltre il 40% degli attacchi DDoS rispetto allo stesso periodo dell’anno precedente. Un ritmo di crescita che dimostra come le difese evolvano, ma anche come gli attaccanti lo facciano altrettanto velocemente, spesso sfruttando l’infrastruttura digitale distribuita che tutti utilizziamo quotidianamente.

In un panorama del genere, il vero punto critico non è tanto stabilire quale sarà il prossimo record di terabit al secondo, ma comprendere che attacchi di questa portata diventeranno sempre più comuni. Lo ha ricordato lo stesso Sean Whalen di Microsoft, secondo cui “gli aggressori stanno scalando insieme a Internet, replicando la logica stessa delle infrastrutture moderne. L’unico modo per restare al passo è investire in mitigazione automatica, visibilità in tempo reale e, soprattutto, consapevolezza dei rischi legati alla proliferazione incontrollata dei dispositivi IoT”.

(Immagine in apertura: Shutterstock)