Autoridades canadenses e dos Estados Unidos prenderam e acusaram um residente de Ottawa de 23 anos por supostamente operar a "KimWolf", uma enorme botnet de DDoS para Internet das Coisas (IoT) que armou mais de um milhão de dispositivos conectados em todo o mundo, incluindo sistemas no Alasca e na Rede de Informação de Defesa dos Estados Unidos (DoDIN).
Contexto e escala do ataque
De acordo com uma queixa criminal desclassificada no Distrito do Alasca, Jacob Butler, também conhecido pelo pseudônimo "Dort", é acusado de desenvolver e administrar a botnet KimWolf como parte de uma operação de DDoS como serviço (DDoS-as-a-service) que alugava capacidade de ataque para outros cibercriminosos.
A KimWolf supostamente comprometeu dispositivos de consumo e de pequeno escritório tradicionalmente protegidos por firewall, como molduras de fotos digitais e webcams, inscrevendo-os secretamente em uma infraestrutura de ataque globalmente distribuída. Os investigadores dizem que a botnet foi usada para lançar campanhas de negação de serviço distribuído de alto volume contra alvos em todo o mundo, incluindo intervalos de IP associados ao DoDIN.
A KimWolf está ligada a ataques DDoS que atingiram picos de quase 30 Tbps, colocando-a entre os eventos volumétricos registrados mais grandes até hoje e gerando perdas que, para algumas vítimas, excederam um milhão de dólares.
Desmantelamento global e apreensão de infraestrutura
Butler foi preso em Ottawa em conformidade com um mandado de extradição dos EUA após uma ação coordenada envolvendo o Departamento de Justiça dos EUA, o Serviço de Investigação Criminal de Defesa (DCIS) e parceiros de aplicação da lei canadenses.
Ele agora enfrenta uma contagem de auxílio e abetting intrusão em computador nos Estados Unidos, com uma pena máxima de 10 anos de prisão após a condenação, com sentença a ser determinada sob as Diretrizes de Sentença dos EUA.
A prisão segue uma operação mais ampla autorizada por tribunal em março de 2026 que interrompeu várias botnets de DDoS IoT de alto impacto, incluindo Aisuru, KimWolf, JackSkid e Mossad, ao apreender sua infraestrutura de comando e controle (C2).
Em uma ação paralela, o Distrito Central da Califórnia desclassificou mandados de apreensão contra 45 plataformas de DDoS como serviço supostamente apoiadas ou colaborando com serviços como a KimWolf. As autoridades apreenderam domínios e os redirecionaram para uma "página de splash" de aplicação da lei que avisa os visitantes sobre a ilegalidade de ataques DDoS e serviços de booter.
Evidências e colaboração público-privada
De acordo com os documentos do tribunal, os investigadores vincularam Butler à administração da KimWolf por meio de uma combinação de evidências de endereço IP, registros de contas online, rastros de pagamento e transações e logs de plataformas de mensagens criptografadas obtidos sob processo legal.
Essa imagem probatória supostamente vincula sua persona online "Dort" à infraestrutura operacional central da botnet e à atividade de DDoS como serviço voltada para o cliente.
A operação contou com colaboração público-privada extensa, com contribuições de uma ampla gama de provedores de tecnologia, hospedagem, segurança e rede. Sua telemetria, tratamento de abuso e inteligência de infraestrutura foram instrumentais para mapear o ecossistema da KimWolf, identificar nós C2 e apoiar ações coordenadas de apreensão e sinkholing.
Implicações para a segurança de IoT
O caso KimWolf destaca a vulnerabilidade persistente de dispositivos IoT em ambientes corporativos e residenciais. Muitos desses dispositivos, como câmeras de segurança e molduras digitais, são frequentemente deixados com senhas padrão e sem atualizações de firmware, tornando-os alvos fáceis para recrutamento em botnets.
Para CISOs e equipes de segurança, o caso serve como um lembrete da necessidade de segmentação de rede rigorosa para dispositivos IoT, garantindo que eles não tenham acesso direto à internet sem monitoramento adequado e que as políticas de segurança de endpoint sejam estendidas a esses dispositivos.
O que fazer agora
As organizações devem revisar seus inventários de dispositivos IoT e garantir que todos os dispositivos conectados estejam em redes segmentadas. A implementação de soluções de detecção de anomalias de tráfego de rede pode ajudar a identificar picos de tráfego de saída que indicam comprometimento de botnet. Além disso, a colaboração com provedores de segurança e autoridades de aplicação da lei é crucial para combater essas ameaças em escala global.