Operation PowerOFF: sequestrati 53 domini DDoS-for-hire, identificati 75.000 utenti (aggiornato: 17 aprile 2026, ore 11:14)

Il 13 aprile scorso, mentre buona parte del mondo si godeva un tranquillo inizio di settimana, le forze dell'ordine di 21 paesi stavano smontando pezzo per pezzo l'ecosistema dei servizi DDoS a pagamento. L'operazione, battezzata Operation PowerOFF, ha portato al sequestro di 53 domini, a 4 arresti, all'esecuzione di 25 mandati di perquisizione. Il dato più significativo, però, riguarda un'altra categoria: le autorità hanno identificato oltre 75.000 utenti sospettati di aver acquistato attacchi DDoS su commissione. Non gli operatori delle piattaforme. I clienti. Europol ha annunciato i risultati dell'operazione in questi giorni

Non solo infrastruttura: ora si punta agli acquirenti

Per anni la strategia delle forze dell'ordine contro i servizi DDoS-for-hire - noti anche come booter o stresser - si è concentrata sullo smantellamento dell'infrastruttura: sequestrare domini, spegnere server, arrestare gli amministratori.

Operation PowerOFF segna un cambio di passo esplicito. I server sequestrati hanno restituito database contenenti oltre 3 milioni di account riconducibili a utenti registrati sulle piattaforme. Da quei dati, le autorità hanno estratto le identità di più di 75.000 persone, a cui sono state inviate lettere e comunicazioni di avvertimento formale.

Il messaggio è inequivocabile: chi paga per un attacco DDoS non è un semplice spettatore. È un committente di un'attività criminale, e adesso ha un fascicolo aperto a suo nome. Fino a ieri il rischio percepito per l'utente medio di un booter era prossimo allo zero. Questa operazione riscrive quel calcolo.

Come funziona il mercato dei DDoS a pagamento

I servizi di tipo booter e stresser rappresentano la democratizzazione degli attacchi DDoS, nel senso peggiore del termine. Non richiedono competenze tecniche né infrastruttura propria: l'utente paga, inserisce l'indirizzo IP del bersaglio, e la piattaforma si occupa di inondare server, siti web o reti con traffico spazzatura fino a renderli inaccessibili. Molti di questi servizi includono persino guide passo-passo pensate per chi non ha la minima esperienza informatica.

Il profilo degli utenti è eterogeneo. Si va dal ragazzino curioso che vuole mettere fuori uso il server di un videogioco al concorrente sleale che punta a bloccare un marketplace rivale, passando per attivisti ideologicamente motivati e piccoli estorsori. Secondo Europol, le motivazioni principali comprendono curiosità, hacktivismo, guadagno finanziario tramite estorsione e sabotaggio della concorrenza. Gli attacchi tendono a essere regionali: gli utenti colpiscono bersagli situati nel proprio continente.

L'ampiezza dell'operazione

Ventuno paesi hanno partecipato alla settimana d'azione coordinata: Stati Uniti, Regno Unito, Australia, Austria, Belgio, Brasile, Bulgaria, Danimarca, Estonia, Finlandia, Germania, Giappone, Lettonia, Lituania, Lussemburgo, Paesi Bassi, Norvegia, Polonia, Portogallo, Svezia e Thailandia. Per gli Stati Uniti erano sul campo il Department of Justice, l'FBI e Homeland Security Investigations.

Oltre al sequestro dei 53 domini e dei server associati, le autorità hanno ottenuto la rimozione di oltre 100 URL che pubblicizzavano servizi DDoS-for-hire dai risultati dei motori di ricerca. Messaggi di avvertimento sono stati pubblicati anche sulle blockchain utilizzate per i pagamenti verso queste piattaforme - una strategia a tutto campo che non si limita a spegnere le luci, ma presidia ogni canale attraverso cui domanda e offerta si incontrano.

La componente preventiva

Operation PowerOFF non è solo repressione. Le forze dell'ordine hanno inserito annunci mirati nei motori di ricerca, progettati per intercettare giovani utenti che cercano strumenti DDoS-for-hire, con l'obiettivo di intervenire prima che la curiosità si trasformi in reato. Prima della settimana d'azione vera e propria, sono stati condotti sprint operativi per identificare bersagli ad alto valore e diffondere consapevolezza sull'illegalità di questi servizi.

Europol ha avuto un ruolo centrale nell'analisi dei dataset sequestrati, nella distribuzione di intelligence agli stati membri e nell'organizzazione di un posto di comando durante l'intera settimana operativa. L'operazione è descritta come in corso: altre campagne coordinate sono già in programma.

Un contesto che richiede risposte forti

La scala del problema DDoS continua a crescere. L'anno scorso Cloudflare ha mitigato quello che ha definito il più grande attacco DDoS mai registrato, con un picco di 29,7 terabit al secondo. Non sorprende che le operazioni di contrasto si stiano intensificando di pari passo. Già nel tardo 2024 una precedente fase di Operation PowerOFF aveva prodotto 3 arresti e il sequestro di 27 domini. Nel maggio 2025 le autorità polacche avevano fermato 4 presunti amministratori di piattaforme DDoS-for-hire responsabili di migliaia di attacchi condotti tra il 2022 e il 2025. L'FBI, dal canto suo, ha condotto diverse operazioni indipendenti contro lo stesso ecosistema negli ultimi anni.

Nessuna di queste azioni precedenti, però, aveva puntato in modo così diretto e massiccio alla base utenti. Settantacinquemila persone che ora sanno di essere state identificate. Che hanno ricevuto una comunicazione ufficiale in cui si chiede loro di cessare ogni attività illegale. Che d'ora in poi dovranno fare i conti con il fatto che il loro nome figura in un database nelle mani delle forze dell'ordine di 21 paesi.

Per chi pensava che acquistare un attacco DDoS fosse un gesto senza conseguenze - economico, anonimo, a basso rischio - il messaggio di Operation PowerOFF è brutalmente semplice: l'anonimato era un'illusione.

Fonti: europol.europa.eu, cyberscoop.com, the420.in