Relatório sobre ameaças de DDoS do terceiro trimestre de 2025 da Cloudflare, incluindo a Aisuru, o ápice das botnets

Boas-vindas à vigésima terceira edição do Relatório trimestral sobre ameaças de DDoS da Cloudflare. Este relatório oferece uma análise abrangente do cenário de ameaças em evolução de ataques de negação de serviço distribuída (DDoS) com base em dados da rede da Cloudflare. Nesta edição, nos concentramos no terceiro trimestre de 2025.

O terceiro trimestre de 2025 foi marcado pela botnet Aisuru, com um enorme exército estimado entre 1 e 4 milhões de hosts infectados em todo o mundo. A Aisuru lançou ataques de DDoS hipervolumétricos que rotineiramente ultrapassavam 1 terabit por segundo (Tbps) e 1 bilhão de pacotes por segundo (Bpps). O número desses ataques aumentou 54% em relação ao trimestre anterior, com uma média de 14 ataques hipervolumétricos diariamente. A escala foi sem precedentes, com ataques atingindo picos de 29,7 Tbps e 14,1 Bpps.

Além da Aisuru, outros insights importantes neste relatório incluem:

1. O tráfego de ataques de DDoS contra empresas de IA aumentou até 347% mês a mês em setembro de 2025, à medida que a preocupação pública e a revisão regulatória da IA aumentam. 

2. A escalada das tensões comerciais entre a UE e a China sobre minerais de terras raras e tarifas de veículos elétricos coincide com um aumento significativo nos ataques de DDoS contra a indústria de mineração, minerais e metais, bem como a indústria automotiva no terceiro trimestre de 2025.

3. No geral, no terceiro trimestre de 2025, as defesas autônomas da Cloudflare bloquearam um total de 8,3 milhões de ataques de DDoS. Isso é uma média de quase 3.780 ataques de DDoS por hora. O número de ataques de DDoS cresceu 15% em relação ao trimestre anterior e 40% em termos anuais. 

Até agora em 2025, e com um trimestre inteiro até o final do ano, a Cloudflare já mitigou 36,2 milhões de ataques de DDoS. Isso corresponde a 170% dos ataques de DDoS que a Cloudflare mitigou ao longo de 2024.

No terceiro trimestre de 2025, a Cloudflare detectou e mitigou automaticamente 8,3 milhões de ataques de DDoS, representando um aumento de 15% no trimestre e 40% em relação ao ano anterior.

Os ataques de DDoS na camada de rede, que representaram 71% dos ataques de DDoS no terceiro trimestre de 2025, ou 5,9 milhões de ataques de DDoS, aumentaram 87% em relação ao trimestre anterior e 95% em relação ao ano anterior. No entanto, os ataques de DDoS por HTTP, que representaram apenas 29% dos ataques de DDoS no terceiro trimestre de 2025, ou 2,4 milhões de ataques de DDoS, diminuíram 41% em relação ao trimestre anterior e 17% em relação ao ano anterior.

No terceiro trimestre de 2025, a Cloudflare mitigou uma média de 3.780 ataques de DDoS a cada hora.

Força disruptiva

A Aisuru visou provedores de telecomunicações, empresas de jogos, provedores de hospedagem e serviços financeiros, para citar alguns. Também causou “interrupções colaterais generalizadas na internet [nos EUA]”, conforme relatado por Krebs on Security, simplesmente devido à quantidade de tráfego de botnets roteado pelos provedores de internet (ISPs). 

Pense nisso. Se o tráfego de ataque da Aisuru pode interromper partes da infraestrutura da internet dos EUA quando os referidos provedores de internet nem eram o alvo do ataque, imagine o que ele pode fazer quando for voltado diretamente a provedores de internet desprotegidos ou insuficientemente protegidos, infraestrutura crítica, serviços de saúde, serviços de emergência e sistemas militares. 

Estatísticas de botnets para alugar e DDoS

"Partes" da Aisuru são oferecidas por distribuidores como botnets para alugar, permitindo que qualquer pessoa cause caos em nações inteiras ao paralisar redes de backbone e saturar links de internet, interrompendo milhões de usuários e prejudicando o acesso a serviços essenciais, tudo por um custo de algumas centenas a alguns milhares de dólares americanos. 

Desde o início de 2025, a Cloudflare já mitigou 2.867 ataques da Aisuru. Somente no terceiro trimestre, a Cloudflare mitigou 1.304 ataques volumétricos lançados pela Aisuru. Isso representa um aumento de 54% no trimestre. Isso inclui os ataques de DDoS de 29,7 Tbps e de 14,1 Bpps que quebraram o recorde mundial. 

O ataque de 29,7 Tbps foi um ataque de carpet bombing de UDP, bombardeando uma média de 15 mil portas de destino por segundo. O ataque distribuído randomizou vários atributos de pacotes na tentativa de escapar das defesas, mas os sistemas de mitigação da Cloudflare detectaram e mitigaram todos os ataques, inclusive este, de forma totalmente autônoma. Leia mais sobre Como a Cloudflare mitiga ataques de DDoS hipervolumétricos.

Embora a maioria dos ataques de DDoS seja relativamente pequena, no terceiro trimestre, a quantidade de ataques de DDoS que excederam 100 milhões de pacotes por segundo (Mpps) aumentou 189% em relação ao trimestre anterior. Da mesma forma, os ataques que excedem 1 Tbps aumentaram 227% no trimestre. Na camada HTTP, quatro em cada cem ataques excederam um milhão de solicitações por segundo. 

Além disso, a maioria, 71%, dos ataques de DDoS por HTTP e 89% dos ataques na camada de rede, termina em menos de 10 minutos. Isso é rápido demais para qualquer ser humano ou serviço sob demanda reagir. Um ataque curto pode durar apenas alguns segundos, mas a disrupção que ele causa pode ser grave, e a recuperação leva muito mais tempo. A equipe operacional e a de engenharia ficam presas a um processo complexo e de várias etapas para colocar sistemas críticos novamente on-line, verificar a consistência dos dados em sistemas distribuídos e restaurar serviços seguros e confiáveis para os clientes. 

O impacto dos ataques de DDoS de curta duração, sejam eles hipervolumétricos ou não, pode se estender muito além da duração do ataque.

Sete das dez principais origens são locais na Ásia, com a Indonésia na liderança. A Indonésia é a maior origem de ataques de DDoS e foi classificada como número um no mundo por um ano inteiro (desde o terceiro trimestre de 2024). Mesmo antes disso, a Indonésia sempre esteve nas principais listas de origens de ataques. No segundo trimestre de 2024, a Indonésia foi a segunda maior origem, depois de subir das classificações mais baixas nos trimestres e anos anteriores.

Para ilustrar a ascensão da Indonésia como um hub de DDoS, em apenas cinco anos (desde o terceiro trimestre de 2021), a porcentagem de solicitações de ataques de DDoS por HTTP originadas na Indonésia aumentou impressionantes 31.900%. 

Os atacantes de DDoS visam minerais de terras raras

Os ataques de DDoS contra a indústria de mineração, minerais e metais aumentaram significativamente no terceiro trimestre de 2025, quando a 25ª cúpula comercial União Europeia–China viu tensões crescentes sobre tarifas de veículos elétricos (EV), exportações de terras raras e questões de segurança cibernética, de acordo com vários veículos de notícias. A BBC informou que “a China também aumentou os controles de exportação de terras raras e minerais críticos”. No geral, o setor de mineração, minerais e metais subiu 24 posições na classificação global, tornando-se o 49º setor mais atacado do mundo.

O setor automotivo teve o maior aumento nos ataques de DDoS, subindo 62 posições em apenas um trimestre, tornando-se o sexto setor mais atacado no mundo. As empresas de cibersegurança também registraram um aumento significativo nos ataques de DDoS. O setor de segurança cibernética subiu 17 posições, tornando-se o 13º setor mais atacado do mundo.

Ataques de DDoS contra IA disparam 347%

Em setembro de 2025, uma pesquisa do Tony Blair Institute mostrou que os britânicos veem a IA mais como um risco econômico do que uma oportunidade, gerando grandes manchetes sobre automação e confiança. A Comissão de Direito do Reino Unido lançou uma análise sobre o uso da IA no governo, tornando este um mês de destaque para a ética da IA, regulamentação e adoção de IA generativa. Em setembro de 2025, a Cloudflare também observou picos mensais de até 347% no tráfego de ataques de DDoS por HTTP contra empresas de IA generativa (com base em uma amostra dos principais serviços de IA generativa).

Os 10 principais

No terceiro trimestre de 2025, tecnologia da informação e serviços liderou a lista como o setor mais atacado, seguido por telecomunicações e jogos e apostas. Notavelmente, o setor automotivo subiu dramaticamente 62 posições no trimestre. Mídia, produção e publicação também tiveram um forte aumento, precedido pelo setor de bancos e serviços financeiros, o setor de varejo e o setor de eletrônicos de consumo.

Há uma correlação direta entre eventos geopolíticos e a atividade de ataques de DDoS.

Parem os saques!

"Lootuvaifi" (Parem os saques!) em maldívio, tornou-se o grito de guerra nos protestos maldívios de 2025, quando os manifestantes foram às ruas para protestar contra a "corrupção governamental percebida e o retrocesso democrático", culminando com o projeto de lei da mídia que "acaba com a liberdade de expressão", que o Human Rights Chief da ONU disse que "prejudicará seriamente a liberdade de imprensa e o direito à liberdade de expressão do povo das Maldivas se não for retirado". Os protestos maldivos de 2025 foram acompanhados por uma enxurrada de ataques de DDoS. Da mesma forma, as Maldivas foram o país que viu o maior aumento nos ataques de DDoS. No terceiro trimestre de 2025, as Maldivas subiram 125 posições, tornando-se o 38º país mais atacado do mundo.

"Bloquear tudo"

O movimento de protesto nacional, "Bloquear tudo", ou "Bloquons Tout" em francês, foi lançado por sindicatos franceses em setembro de 2025 para se opor ao governo do presidente Macron devido às novas medidas de austeridade, mudanças no sistema de pensões e aumento do custo de vida. Enquanto os sindicatos pediam greves coordenadas e bloqueios de transporte para paralisar o país, agentes de ameaças cibernéticas visaram sites e serviços de internet franceses com ondas de ataques de DDoS. A França saltou 65 posições na comparação trimestral, tornando-se o 18º país mais atacado do mundo. 

“Traçar a linha vermelha para Gaza em Bruxelas”

Aumentos nos ataques de DDoS foram observados juntamente com protestos em mais países. Por exemplo, a Bélgica saltou 63 lugares, tornando-se o 74º país mais atacado do mundo, quando “dezenas de milhares de manifestantes traçaram a linha vermelho para Gaza em Bruxelas.”

Os 10 principais

No terceiro trimestre de 2025, a China continuou a ser o país mais atacado, seguida pela Turquia, em segundo, e a Alemanha, em terceiro lugar. As mudanças mais notáveis neste trimestre foram o aumento dos ataques de DDoS contra os Estados Unidos, que subiram 11 posições, tornando-se o quinto país mais atacado. As Filipinas tiveram o maior aumento entre os 10 primeiros, saltaram 20 posições.

Ataques DDoS na camada de rede

A quantidade de ataques de DDoS UDP, parcialmente alimentada pelos ataques da Aisuru, aumentou 231% em relação ao trimestre anterior, tornando-se o principal vetor de ataque na camada de rede. As inundações de DNS ficaram em segundo lugar, as inundações SYN em terceiro e as inundações ICMP em quarto, respondendo por pouco mais da metade de todos os ataques de DDoS na camada de rede.

Embora quase dez anos tenham se passado desde sua primeira grande estreia, os ataques de DDoS da Mirai ainda são bastante comuns. Quase dois em cada cem ataques de DDoS na camada de rede são lançados por permutações da botnet Mirai.

Ataques DDoS por HTTP

Quase 70% dos ataques de DDoS por HTTP se originaram de botnets já conhecidos pela Cloudflare. Isso reflete um dos benefícios que nossos clientes obtêm ao usar a Cloudflare. Quando uma botnet ataca um dos milhões de clientes da Cloudflare, todos ficam automaticamente protegidos contra essa botnet.

Cerca de 20% dos ataques de DDoS por HTTP se originaram de navegadores falsos ou sem interface gráfica, ou incluíram atributos HTTP suspeitos. Cerca de 10% dos restantes foram uma combinação de inundações genéricas, solicitações incomuns, ataques de estouro de cache e ataques direcionados a endpoints de login.

Entramos em uma era em que os ataques de DDoS cresceram rapidamente em sofisticação e tamanho, além de tudo que poderíamos imaginar alguns anos atrás. Muitas organizações enfrentam desafios para acompanhar este cenário de ameaças em evolução. 

As organizações que dependem de dispositivos de mitigação no local ou de soluções de centros de depuração sob demanda podem se beneficiar ao revisar sua estratégia de defesa, considerando o cenário atual de ameaças.

A Cloudflare, com sua vasta rede global e sistemas autônomos de mitigação de DDoS, está comprometida em fornecer proteção contra DDoS gratuita e não medida a todos os clientes, independentemente do tamanho, duração ou quantidade de ataques de DDoS que eles enfrentam.