Die „Pulse“-Kampagne: Was uns brasilianische Internetdienstanbieter über die nächste Phase der DDoS-Automatisierung verraten
Ein Muster, das sich im Rauschen von 498.163 Angriffen verbirgt, die zwischen dem 14. März 2026 und dem 20. März 2026 erfasst wurden, und was dies für jeden regionalen Internetdienstanbieter weltweit bedeutet
Etwa 79 Prozent dieser Angriffe sind CLDAP-Angriffe. Fast alle richten sich gegen brasilianische Internetdienstanbieter, aber wenn man das Rauschen herausfiltert und sich ansieht, was auf der Ebene der Internetdienstanbieter geschieht, fällt sofort etwas ins Auge.
Dieselbe kleine Gruppe von Telekommunikationsunternehmen, die bereits im vorherigen A10-Blog erwähnt wurde, sowie mehrere andere kleinere regionale Betreiber werden gleichzeitig über Dutzende von /24-Subnetzblöcken angegriffen, wobei die Angriffsdauer sich in einem bemerkenswert engen Bereich bewegt: 29 bis 60 Sekunden, wobei sich die Angriffe in Wellen im Abstand von wenigen Sekunden wiederholen.
Das ist kein Zufall. Ein Angriff, der 29 Sekunden dauert, gefolgt von einem weiteren nach 39 Sekunden und einem weiteren nach 59 Sekunden, verteilt auf sechs verschiedene Subnetzbereiche desselben Internetdienstanbieters – und das alles innerhalb eines Zeitfensters von 90 Sekunden – ist nicht das Werk eines Menschen, der auf Knöpfe drückt. Es handelt sich um ein Skript mit einem Timer. Die Daten zeigen, dass es sich bei der operativen Signatur der automatisierten Pulse-Fire-DDoS-Infrastruktur wahrscheinlich um einen DDoS-for-Hire-Dienst oder ein Botnetz-Modul handelt, das eine konfigurierte Angriffsschleife ausführt.
Besonders aufschlussreich ist der Cluster mit einer Dauer von 29 bis 60 Sekunden: Er ist kurz genug, um bestimmte Schwellenwerte für die Verbindungsdauer zu umgehen, und lang genug, um die Upstream-Verbindungen für jeden Kunden in diesen /24-Blöcken zu überlasten. Und dies wiederholt sich mit mechanischer Präzision über alle Subnetze hinweg, was darauf hindeutet, dass der Angreifer nicht auf eine einzelne IP-Adresse abzielt, sondern auf die gesamte Zugangsinfrastruktur des Internetdienstanbieters.
Dies ist das Muster der Flächenbombardierung, das im A10-Blog vom Februar beschrieben wurde. Die Daten vom März zeigen, dass es nicht aufgehört hat. Es hat sich sogar noch verstärkt.
CLDAP ist die Waffe der Wahl – und das ist kein Zufall
Im ersten Quartal 2025 verzeichnete Cloudflare einen Anstieg der CLDAP-Reflexions- und Verstärkungsangriffe um 3.488 Prozent gegenüber dem Vorquartal – eine erschreckende Zahl, auf die die meisten Sicherheitsverantwortlichen nicht schnell genug reagierten. Der Verstärkungsfaktor von CLDAP, der das 56- bis 70-fache der ursprünglichen Anfrage beträgt, bedeutet, dass Angreifer keine großen Botnetz-Infrastrukturen mehr unterhalten müssen; sie können offene CLDAP-Server im Internet nutzen, um einen massiven Datenstrom an die IP-Adresse des Opfers zu generieren.
Ein CLDAP-DDoS-Reflexionsangriff weist einen Verstärkungsfaktor von bis zu 70:1 auf und ist damit eines der effektivsten UDP-Protokolle für Missbrauchszwecke. Für einen Angreifer, der eine DDoS-as-a-Service-Plattform betreibt, sind dies ideale wirtschaftliche Rahmenbedingungen: geringe Investitionen in gefälschten Abfrageverkehr, enorme Erträge in Form von Datenvolumen und kein Aufwand für die Wartung eines Botnetzes.
Entscheidend ist, dass Brasilien in der Vergangenheit eine große Anzahl exponierter CLDAP-Dienste hatte, mit über 5.400 verschiedenen IP-Adressen, auf denen CLDAP über Port 389 offen im Internet zugänglich war. Dies führt zu einem bedrohlichen Teufelskreis: Die brasilianische Infrastruktur ist sowohl ein primäres Opfer als auch ein potenzieller Reflektorpool, wodurch die Internetdienstanbieter des Landes doppelt gefährdet sind.
Die parallele Kampagne mit Fokus auf Europa
Während die brasilianische CLDAP-Welle weiterrollt, zeigt derselbe Berichtszeitraum NTP-Angriffe mit hohem Schweregrad, die auf europäische Telekommunikationsanbieter abzielen und eine Komplexitätsbewertung von „hoch“ sowie eine Dauer von bis zu 563 Sekunden aufweisen.
Das ist kein Zufall. Zwei Dinge laufen parallel ab: eine automatisierte Puls-Kampagne mit geringer Komplexität und hohem Volumen gegen unvorbereitete regionale Internetdienstanbieter in Brasilien und eine gezielte Verstärkungskampagne mit hohem Schweregrad gegen europäische Netzbetreiber. Unterschiedliche Tools, unterschiedliche Regionen, unterschiedliche Schweregrade – aber derselbe Berichtszeitraum.
Diese geografisch und vektorübergreifende Struktur entspricht dem, was wir von einem erfahrenen Angreifer oder einer DDoS-Plattform erwarten würden, die mehrere Kunden gleichzeitig bedient. Sie stimmt auch mit den Beschreibungen von Cloudflare in deren Analyse eines rekordverdächtigen Angriffs überein: Im April 2025 ereignete sich ein hypervolumetrischer, multivektorieller Angriff mit einer Bandbreite von 6,5 Tbit/s, bei dem mehr als 30.000 eindeutige IP-Adressen aus 147 Ländern sowie mehrere Angriffsvektoren zum Einsatz kamen, darunter CLDAP- und SSDP-Reflexion und -Amplifikation sowie Mirai-Botnet-Verkehr. Die Koordination über mehrere Vektoren und Regionen hinweg ist mittlerweile die Norm für ausgefeilte DDoS-Kampagnen – und keine Ausnahme mehr.
Warum regionale Internetdienstanbieter die Schwachstelle sind
Die Namen derselben Internetdienstanbieter tauchten innerhalb weniger Minuten dutzende Male auf. Das liegt nicht daran, dass diese Organisationen besonders wichtige strategische Ziele sind. Es liegt daran, dass sie die einfachsten Ziele auf der Karte sind.
Kleine regionale Glasfaser-Internetdienstanbieter in Brasilien und anderswo arbeiten mit knappen Margen, mit handelsüblicher Routing-Hardware und ohne eigene Infrastruktur zur DDoS-Abwehr. Sie sind auf Upstream-Transit-Anbieter angewiesen, die möglicherweise keine proaktive DDoS-Abwehr anbieten. Sie verfügen nicht über NOC-Teams, die rund um die Uhr auf „Carpet-Bombing“-Muster über /24-Blöcke hinweg achten. Und was entscheidend ist: Wenn ihre Zugangsverbindungen überlastet sind, beschränkt sich die Auswirkung nicht auf einen einzigen Kunden. Es legt ein gesamtes lokales Netzwerk lahm – Unternehmen, Schulen, Gesundheitsdienste, Notfallinfrastruktur.
Untersuchungen von A10 haben bestätigt, dass CLDAP zwar nur 0,2 Prozent aller Server weltweit ausmacht, jedoch einen Verstärkungsfaktor aufweist, der jeden exponierten Server unverhältnismäßig gefährlich macht. Angreifer können kleine, gefälschte Anfragen an exponierte CLDAP-Server senden, die Antworten an das Opfer generieren, deren Größe bis zum 70-Fachen der ursprünglichen Anfrage betragen kann.
Der Angreifer braucht nicht viele Waffen. Er muss lediglich Ziele finden, die ungeschützt sind. Brasiliens regionale Internetdienstanbieter bieten ihm genau das.
Die 29- bis 60-Sekunden-Signatur: Worauf Verteidiger achten müssen
Die Signatur der Dauer von Impulsfeuer in diesem Datensatz stellt verwertbare Bedrohungsinformationen dar. Wenn Ihre Netzwerküberwachung so konfiguriert ist, dass sie bei anhaltenden Angriffen von mehr als fünf Minuten Alarm schlägt, wird diese Kampagne vollständig unter Ihrem Radar bleiben. Der Angreifer hält sich bewusst im Bereich von weniger als einer Minute.
Eine effektive Erkennung erfordert:
- Überwachung des gesamten /24-Subnetzes statt einzelner IP-Adressen: Der Angreifer verteilt die Last auf das gesamte Subnetz, um die Erkennungsschwellen für einzelne IP-Adressen zu umgehen. Wenn Sie nur bei hohem Datenverkehr auf einzelnen IP-Adressen Alarm schlagen, übersehen Sie die bereits stattfindende Überlastung der Zugangsverbindungen.
- Dauerunabhängige Warnmeldungen bei hohem Datenvolumen: Ein 35-sekündiger Datenstoß, der Ihre Upstream-Verbindung überlastet, ist genauso schädlich wie ein 10-minütiger anhaltender Angriff. Die Warnlogik muss auf kurze, wiederholte Datenstöße reagieren, die von mehreren Quell-IP-Adressen innerhalb desselben Subnetzfensters ausgehen.
- Im Voraus ausgehandelte RTBH-Vereinbarungen: Das „Remote Triggered Black Hole“-Routing mit Community-Tagging muss vor einem Angriff mit Ihren Transit-Anbietern vereinbart werden, nicht währenddessen. Während eines 35-sekündigen Impulses bleibt keine Zeit für einen Anruf.
- Austausch von Informationen unter Gleichgesinnten: Die in diesem Datensatz betroffenen Organisationen sind Nachbarn – dasselbe Land, dieselbe Ebene, dasselbe Risikoprofil. Eine Angriffswelle, die um 17:29 Uhr die Subnetze von INNOVANET traf, wird wenige Minuten später die Subnetze des nächsten Internetdienstanbieters treffen. Ein formalisierter Austausch von Bedrohungsinformationen zwischen regionalen Internetdienstanbietern in derselben Region kann eine Frühwarnung bieten, die über die individuelle Überwachung hinausgeht
kann nicht.
Fazit
Gegen die regionalen Internetdienstanbieter in Brasilien läuft derzeit eine ausgereifte, automatisierte Pulsfeuer-Kampagne, die mit mechanischer Präzision arbeitet und CLDAP-Verstärkung sowie einen Angriffsrhythmus von unter 60 Sekunden nutzt, um die üblichen Erkennungsschwellen zu umgehen. Parallel dazu finden im gleichen Zeitraum NTP-Angriffe mit hohem Schweregrad gegen europäische Netzbetreiber statt.
Die Angreifer haben ihre Erkundung abgeschlossen. Sie wissen, welche Organisationen über Schutzmaßnahmen verfügen und welche nicht. Die „Pulse“-Kampagne, die auf regionale brasilianische Internetdienstanbieter abzielt, existiert genau deshalb, weil diese Organisationen auf der Ebene der aggregierten Subnetze ungeschützt und unüberwacht bleiben.
Datenquelle: A10 Defend Threat Control, 14.–20. März 2026. Externe Validierung: Cloudflare DDoS-Bedrohungsbericht Q1 2025, Akamai CLDAP-Reflection-DDoS-Analyse, A10 Networks DDoS-Weapons-BerichtA10 Networks .
