23-годишен канадец е обвинен в управление на DDoS-for-hire инфраструктура, използвана за атаки до 30 Tbps

Американските и канадските власти арестуваха 23-годишния канадски гражданин Джейкъб Бътлър, обвинен в управление на мащабния ботнет KimWolf, компрометирал близо 2 милиона устройства по света и използван за масови DDoS атаки срещу организации и инфраструктури.

Според американското обвинение Бътлър, известен онлайн и с псевдонима „Dort“, е задържан в Отава по искане на САЩ и в момента очаква екстрадиция.

Разследването се води в Аляска, където е разпечатана наказателна жалба, свързваща обвиняемия с инфраструктурата на KimWolf чрез IP данни, онлайн акаунти, финансови транзакции и комуникационни записи.

KimWolf е функционирал като DDoS-for-hire услуга

Според съдебните документи KimWolf е работил по модела cybercrime-as-a-service, предоставяйки DDoS атаки срещу заплащане.

Клиентите на услугата са можели да наемат ботнета за:

• масови DDoS кампании;
• претоварване на сървъри;
• атаки срещу онлайн услуги;
• disruption операции;
• атаки срещу корпоративна инфраструктура.

Разследващите твърдят, че ботнетът е използван в над 25 000 атаки срещу системи по света, включително срещу IP адреси от мрежата на Министерство на отбраната на САЩ.

Някои от жертвите са претърпели финансови щети над 1 милион долара.

Карта на инфекциите с Kimwolf (Synthient)

Атаките са достигали близо 30 Tbps

Според американските власти инфраструктурата е използвана за DDoS атаки с мащаб до почти 30 терабита в секунда – една от най-големите публично известни DDoS операции към момента на извършването им.

Този мащаб е възможен благодарение на огромния брой компрометирани устройства, включени в ботнета.

Сред заразените системи са:

• IP камери;
• цифрови фото рамки;
• Android TV устройства;
• streaming устройства;
• DVR системи;
• Wi-Fi рутери;
• IoT оборудване.

Android устройства и residential proxy мрежи са използвани за бързо разрастване

Изследователи от Synthient, които проследяват развитието на KimWolf, съобщават още през януари, че ботнетът е достигнал почти 2 милиона заразени устройства.

Според анализа атакуващите са използвали:

• уязвимости в residential proxy мрежи;
• слабо защитени Android устройства;
• публично достъпни IoT системи;
• автоматизирано сканиране и компрометиране.

По данни на Synthient инфраструктурата е генерирала приблизително 12 милиона уникални IP адреса седмично.

Това превръща KimWolf в една от най-мащабните IoT ботнет операции през последните години.

Властите удариха и десетки DDoS-for-hire платформи

Паралелно с ареста американските власти съобщават и за мащабна операция срещу DDoS-for-hire екосистемата.

Министерство на правосъдието на САЩ обяви, че са издадени заповеди за конфискация срещу 45 платформи за DDoS услуги.

Според властите поне една от тези платформи е работила директно с KimWolf ботнета.

Американските служби са конфискували:

• домейни;
• инфраструктурни записи;
• контролни панели;
• backend системи.

Посетителите на част от сайтовете вече се пренасочват към официални warning страници, уведомяващи, че DDoS услугите представляват незаконна дейност.

Операцията е продължение на международен удар срещу IoT ботнети

Арестът на Бътлър идва само няколко месеца след международна операция през март 2026 г., проведена от властите на:

• САЩ
• Германия
• Канада

Тогава бяха иззети command-and-control инфраструктури, използвани от:

• KimWolf;
• Aisuru;
• JackSkid;
• Mossad.

Според разследването четирите ботнета общо са компрометирали над 3 милиона IoT устройства.

IoT екосистемата остава идеална среда за масови ботнет операции

Случаят с KimWolf показва, че IoT устройствата продължават да бъдат една от най-слабите точки в глобалната интернет инфраструктура.

Причините остават добре познати:

• фабрични пароли;
• липса на обновления;
• остарял firmware;
• директен интернет достъп;
• евтини устройства без адекватна защита.

Особено тревожен е фактът, че голяма част от заразените устройства са потребителска електроника, чиито собственици често дори не подозират, че оборудването им участва в кибератаки.

DDoS-as-a-Service се превръща в стабилен криминален бизнес модел

Разследването подчертава и продължаващата професионализация на DDoS екосистемата.

Моделът „атака като услуга“ позволява дори на нискоквалифицирани престъпници да стартират мащабни операции чрез наемане на вече изградена инфраструктура.

Това значително понижава бариерата за извършване на:

• изнудване;
• disruption кампании;
• конкурентни атаки;
• политически мотивирани операции;
• хактивистки действия.

Колкото по-големи стават IoT ботнетите, толкова по-лесно DDoS атаките достигат мащаби, способни да претоварят дори големи доставчици и облачни среди.