Myndighederne slår fire IoT-botnet ud og stopper massive DDoS-angreb

De amerikanske myndigheder, i samarbejde med canadiske og tyske kolleger, har netop afsluttet en storstilet operation mod fire farlige IoT-botnet, der havde inficeret mere end tre millioner enheder verden over. Blandt de kompromitterede enheder var routere, webkameraer og andre internetforbundne apparater, som blev brugt til at udføre massive distributed denial-of-service (DDoS)-angreb.

De fire botnet, døbt Aisuru, Kimwolf, JackSkid og Mossad, stod ifølge Justitsministeriet bag hundredtusindvis af angreb, der i flere tilfælde resulterede i betydelige økonomiske tab for ofrene. Nogle virksomheder og organisationer måtte betale tusindvis af dollars i løsepenge eller afhjælpende omkostninger.

Ifølge anklagemyndigheden blev Aisuru lanceret i slutningen af 2024 og havde allerede i midten af 2025 nået at udføre rekordstore DDoS-angreb. Botnettet spredte sig hurtigt ved at inficere nye IoT-enheder. I oktober 2025 blev en variant af Aisuru, kaldet Kimwolf, sat i drift. Kimwolf introducerede en ny spredningsmekanisme, der gjorde det muligt for botnettet at inficere enheder bag brugerens interne netværk, hvilket gjorde det endnu sværere at opdage og stoppe.

I januar 2026 blev en sårbarhed, som Kimwolf udnyttede til at sprede sig så effektivt, offentligt afsløret af sikkerhedsfirmaet Synthient. Selvom dette medførte en vis begrænsning af Kimwolfs spredning, har flere nye IoT-botnet siden kopieret Kimwolfs spredningsmetoder og konkurreret om de samme sårbare enheder. JackSkid anvendte også lignende teknikker til at nå interne netværkssystemer.

Justitsministeriet oplyser, at nedlæggelsen af de fire botnet fandt sted samtidig med retshåndhævende aktioner i Canada og Tyskland, hvor mistænkte operatører blev pågrebet. Selvom der ikke er blevet offentliggjort detaljer om de anklagede, har KrebsOnSecurity identificeret en 22-årig canadisk mand som en central aktør bag Kimwolf. Ifølge kilder med kendskab til sagen mistænkes desuden en 15-årig tysker for at spille en nøglerolle i operationen.

Operationen blev udført af Defense Criminal Investigative Service (DCIS) under Det amerikanske forsvarsministerium, med bistand fra FBI’s kontor i Anchorage, Alaska. Næsten to dusin teknologivirksomheder deltog også i indsatsen for at identificere og neutralisere den kriminelle infrastruktur.

«Gennem tæt samarbejde med DCIS og vores internationale partnere har vi identificeret og afbrudt den kriminelle infrastruktur, der blev brugt til at udføre store DDoS-angreb,» udtaler Special Agent in Charge Rebecca Day fra FBI’s kontor i Anchorage.

Formålet med aktionen var at forhindre yderligere spredning af infektioner og begrænse botnettets evne til at udføre fremtidige angreb. Myndighederne understreger vigtigheden af fortsat internationalt samarbejde for at bekæmpe cyberkriminalitet og beskytte kritisk infrastruktur.