Publicidade

O Departamento de Justiça dos Estados Unidos desmantelou a infraestrutura de comando e controle de quatro redes de bots responsáveis por ataques cibernéticos em escala global. A operação foi finalizada em março deste ano.

As botnets AISURU, Kimwolf, JackSkid e Mossad haviam infectado mais de 3 milhões de dispositivos em todo o mundo. A operação contou com a participação de autoridades do Canadá e da Alemanha. Grandes empresas de tecnologia também colaboraram com a iniciativa.

Como funcionavam as botnets

As quatro redes operavam sob um modelo chamado de "crime cibernético como serviço". Os operadores infectavam dispositivos conectados à internet, como câmeras e roteadores domésticos.

Depois, eles alugavam o acesso a esses dispositivos para outros criminosos. Esses clientes usavam a infraestrutura para lançar ataques de negação de serviço distribuída, os chamados ataques DDoS. Esse tipo de estratégia inunda um servidor com tanto tráfego que ele para de funcionar.

Os ataques chegaram a bater recordes. A botnet AISURU foi associada a um pico de 31,4 terabits por segundo. O incidente durou apenas 35 segundos. A Cloudflare identificou o caso em novembro de 2025 e o mitigou automaticamente.

A operação policial

A ação foi autorizada judicialmente. O que significa que as autoridades precisaram apresentar provas suficientes a um juiz antes de agir. Somente depois da aprovação judicial as equipes entraram em campo.

A operação aconteceu de forma simultânea em três países. Enquanto os americanos derrubavam a infraestrutura técnica das redes, autoridades canadenses e alemãs miravam diretamente os indivíduos por trás das operações. 

Apreensões incluíram partes da infraestrutura do crime

Derrubar servidores sem prender operadores costuma ser insuficiente. Grupos criminosos tendem a reconstruir sua infraestrutura em poucos dias quando os responsáveis continuam livres.

As apreensões incluíram domínios, servidores e toda a infraestrutura usada nos crimes. Parte dos ataques havia sido direcionada a sistemas do próprio Departamento de Defesa dos Estados Unidos.

Grandes empresas de tecnologia participaram da operação. Elas forneceram dados, inteligência técnica e apoio para identificar e desativar os pontos de controle das redes. A colaboração entre setor público e privado foi um elemento central da estratégia.

A agente especial do FBI Rebecca Day, do Escritório de Campo em Anchorage, destacou a importância dessa parceria. Ela afirmou que a identificação e a desativação coletiva da infraestrutura criminosa refletem a força da colaboração e o compromisso compartilhado de proteger vítimas em todo o mundo.

O impacto nas vítimas e nos setores afetados

As vítimas vinham de setores variados. No quarto trimestre de 2025, os alvos mais atingidos foram empresas de telecomunicações, provedores de serviços e operadoras de internet.

Serviços de jogos online e plataformas de inteligência artificial generativa também figuraram entre os mais atacados. A própria infraestrutura da Cloudflare foi alvo de inundações de tráfego HTTP, ataques a servidores DNS e inundações UDP.

Os provedores de banda larga sofreram um tipo de dano diferente. Os dispositivos infectados eram os próprios equipamentos dos clientes, como roteadores domésticos.

Quando esses aparelhos eram usados em ataques, o tráfego partia de dentro das próprias redes dos provedores. Ataques que superaram 1,5 terabit por segundo chegaram a causar falhas físicas nos equipamentos. Placas de linha de roteadores quebraram sob a pressão do tráfego gerado.

Ataques causaram prejuízo financeiro extenso

As perdas financeiras foram pesadas. Em muitos casos, os criminosos não se limitavam a derrubar sistemas. Eles exigiam pagamentos de resgate para interromper os ataques. As vítimas ficavam diante de uma escolha difícil. Pagar não garantia o fim das ações. Não pagar significava manter os sistemas fora do ar.

O volume de comandos emitidos dá a dimensão do problema. A botnet Aisuru disparou mais de 200 mil comandos de ataque. A JackSkid enviou 90 mil. A KimWolf lançou 25 mil. A Mossad ultrapassou mil registros. Juntas, as redes realizaram centenas de milhares de ataques contra alvos ao redor do mundo.

O Brasil esteve entre os países mais afetados no período. China, Estados Unidos e Alemanha também apareceram no topo da lista de nações mais visadas. Hong Kong e Reino Unido registraram aumentos expressivos no volume de ataques recebidos.

A maioria do tráfego malicioso partiu de endereços IP ligados a grandes plataformas de computação em nuvem. DigitalOcean, Microsoft, Tencent, Oracle e Hetzner foram as mais citadas.

Empresas de telecomunicações da região da Ásia-Pacífico também contribuíram para o volume de ataques. Isso mostra que os criminosos usavam infraestrutura legítima e distribuída para dificultar o bloqueio.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.