Akamai Technologies, Inc. (NASDAQ: AKAM), proveedor global en servicios de CDN (Content Delivery Network – Red de Entrega de Contenidos), ha publicado a través del Equipo de Respuesta e Ingeniería de Seguridad de Prolexic (PLXsert) de la compañía, un nuevo caso de estudio de ciberseguridad. Akamai ha compartido los detalles de un incremento de ataques DDoS (Denegación de Servicio Distribuido) procedentes del grupo de extorsionistas en Bitcoins DD4BC, basándose en la observación por parte de PLXsert del tráfico de ataques dirigido a clientes desde septiembre de 2014 hasta agosto de 2015. Desde el mes de abril de 2015, el equipo identificó 114 ataques de DD4BC, incluyendo medidas más agresivas que tienen como objetivo la reputación de la marca mediante redes sociales. El informe completo está disponible para su descarga en: www.stateoftheinternet.com/dd4bc-case.
“DD4BC ha estado utilizando la amenaza de ataques DDoS para conseguir pagos en Bitcoins de sus víctimas en concepto de protección contra futuros ataques,” dijo Stuart Scholly, Vicepresidente Senior & Director General de la División de Seguridad de Akamai. “Los últimos ataques – centrados principalmente en la industria de los servicios financieros – emplearon nuevas estrategias y tácticas que pretenden acosar, extorsionar y avergonzar a la víctima en público.”
¿Qué es el Grupo DD4BC, y cómo opera?
El grupo DD4BC ha sido responsable de un gran número de campañas de extorsión en Bitcoins desde el año 2014. El año pasado, el grupo amplió sus campañas de extorsión y DDoS para dirigirse a una gama más amplia de sectores empresariales – incluyendo los servicios financieros, medios y entretenimiento, juegos online y retailers. El grupo utiliza el correo electrónico para informar a su objetivo que se va a lanzar un ataque DDoS de bajo nivel contra el sitio Web de la víctima. Desde el mes de junio hasta el mes de julio de 2015, los ataques se incrementaron partiendo de un bajo nivel hasta más de 20 Gbps en algunos casos. El grupo pide entonces un rescate en Bitcoins para proteger a la empresa contra un mayor ataque DDoS diseñado para que no se pueda acceder al sitio Web.
PLXsert ha publicado en abril de 2015 un historial de las actividades del grupo que se encuentra disponible en Akamai’s Security Bulletin: DD4BC Operation Profile.
DD4BC utiliza las redes sociales para explotar a las organizaciones
Según una investigación de PLXsert, recientemente DD4BC ha amenazado con exponer a las organizaciones objetivo mediante redes sociales, lo que amplía el daño causado por el mismo ataque DDoS. El propósito aparentemente es atraer más atención sobre la capacidad del grupo para crear interrupciones de servicio al avergonzar públicamente al objetivo y manchar la reputación de una empresa mediante estos canales de gran alcance.
La metodología del grupo incluye típicamente el uso de campañas de ataques DDoS multivectoriales, volviendo a visitar objetivos anteriores e incorporando también DDoS a la Capa 7 en ataques multivectoriales, concentrándose específicamente en la vulnerabilidad pingback de WordPress. Esta vulnerabilidad se explota para enviar repetidamente solicitudes GET reflejadas al objetivo para sobrecargar el sitio web. Los investigadores de Akamai han visto este método de ataque incorporado en infraestructuras de suites de arranque de DDoS.
Mitigación de amenazas
Desde el mes de septiembre de 2014, el Akamai PLXsert ha observado un total de 141 ataques DD4BC confirmados contra clientes de Akamai. De ellos, el ancho de banda medio fue de 13.34 Gbps, con el mayor ataque DDoS registrado a 56.2 Gbps.
Para ayudar a proteger contra el grupo de extorsionistas DD4BC, y ataques DDoS posteriores, Akamai recomienda las siguientes medidas defensivas:
– Desplegar métodos de detección DDoS basados en anomalías y firmas para identificar los ataques antes de que los usuarios no puedan acceder a un sitio web.
– Distribuir los recursos para incrementar la resiliencia y evitar puntos únicos de fallo debidos a un ataque.
– Implementar dispositivos de mitigación de DDoS en la capa 7 de la red en ubicaciones estratégicas para reducir la amenaza para los servidores de aplicaciones críticos.
Akamai y PLXsert seguirán monitorizando las continuas amenazas, campañas y metodologías utilizadas por DD4BC. Para saber más acerca del grupo y sus amenazas específicas y técnicas de mitigación, descargue una copia de la advertencia de amenaza en www.stateoftheinternet.com.
