Akamai warnt vor Erpressergruppe DD4BC
Akamai warnt vor verstärkten Aktivitäten der Erpressergruppe DD4BC
München, 9. September 2015 – Das Prolexic Security Engineering & Response Team von Akamai hat eine vermehrte Zahl von Angriffen und ein aggressiveres Vorgehen der Erpressergruppe DD4BC im Web beobachtet. Allein seit April 2015 verzeichnete das Team 114 Angriffe.
Akamai Technologies (NASDAQ: AKAM), der führende Anbieter von Content-Delivery-Network (CDN)-Services, hat – unterstützt durch sein Prolexic Security Engineering & Response Team (PLXsert) – Details zu Distributed-Denial-of-Services (DDoS)-Attacken durch die Bitcoin-Erpressergruppe DD4BC veröffentlicht. Dazu analysierte PLXsert den Datenverkehr im Akamai-Netzwerk von September 2014 bis August 2015. Insgesamt identifizierte das Team 141 DD4BC-Attacken, einschließlich solcher, die gezielt über Social-Media-Kanäle das Markenimage das Unternehmen angriffen. Der ausführliche Bericht steht zum Download bereit unter: www.stateoftheinternet.com/dd4bc-case.
So arbeitet die DD4BC-Erpressergruppe
Die DD4BC-Gruppe ist für eine große Zahl von Bitcoin-Erpressungskampagnen verantwortlich, die bis in das Jahr 2014 zurückreichen. Seit dieser Zeit hat die Gruppe ihre Droh- und DDoS-Aktionen ständig ausgeweitet und zielt auf ein breites Spektrum von Branchen, beispielsweise Finanzdienstleistungen, Medien und Unterhaltung, Onlinespiele und Handel. In einer E-Mail teilt DD4BC den ausgewählten Opfern mit, dass sie mit einer DDoS-Attacke in einer niedrigen Bandbreite auf ihre Webseite rechnen müssen. Von Juni bis Juli dieses Jahres ist die Bandbreite in einigen Fällen auf mehr als 20 Gbit/s angewachsen. Anschließend wurde Schutzgeld gefordert. Für den Fall, dass die Zahlung ausbleibt, drohte ein massiver DDoS-Angriff, bei dem die Webseite dann lahmgelegt wird.
Unternehmen über Social Media anprangern
Untersuchungen von PLXsert zufolge kündigte DD4BC kürzlich an, Unternehmen zusätzlich zu den DDoS-Angriffen über Social-Media-Kanäle bloßzustellen. Das Ziel dabei ist es, mehr öffentliche Aufmerksamkeit zu erlangen und zu beweisen, dass DD4BC durch Lahmlegen der Webseiten in der Lage ist, das Opfer zu blamieren und dessen Image nachhaltig zu beschädigen.
Typischerweise verwendet DD4BC Multi-Vector-DDoS-Attacken, greift frühere Ziele wiederholt an und integriert auch Layer-7-Angriffe, wobei insbesondere die WordPress-Pingback-Sicherheitslücke ausgenutzt wird. Über diese werden wiederholt Reflected GET Requests an das Opfer verschickt, um die Webseite zu überfluten. Die Analysten von Akamai konnten derartige Angriffsmethoden auch in DDoS Booter Suite Frameworks feststellen.
Abwehr von Angriffen
PLXsert zählte seit September 2014 insgesamt 141 DD4BC-Angriffe gegen Akamai-Kunden, allein von April bis August 2015 waren es 114. Die durchschnittliche Bandbreite betrug 13,34 Gbit/s, die maximale belief sich auf 56,2 Gbit/s.
Zum Schutz vor Erpressungsversuchen durch DD4BC und nachfolgenden DDoS-Angriffen empfiehlt Akamai die folgenden defensiven Maßnahmen:
- Unternehmen sollten Anomalie- und Signatur-basierte DDoS-Erkennungsmethoden implementieren, um Angriffe frühzeitig zu erkennen, bevor die Webseite für Benutzer nicht mehr zugänglich ist;
- Die Ressourcen sollten verteilt werden, um die Widerstandsfähigkeit zu erhöhen und einen Single Point of Failure zu vermeiden;
- Unternehmen sollten Layer-7-DDoS-Mitigation-Appliances an strategischen Stellen in ihrem Netzwerk einrichten, um die Risiken für kritische Applikationsserver zu vermindern.
Akamai und PLXsert werden auch künftig Bedrohungen, Risiken und Methodologien von DD4BC genau beobachten. Weitere Informationen über diese Gruppe und die spezifischen Gefahren und Abwehrtechniken gibt es in einem zusätzlichen Threat Advisory unter: www.stateoftheinternet.com.
„DD4BC droht mit DDoS-Angriffen, wenn die Zahlung von Bitcoins ausbleibt, mit der sich Opfer vor künftigen Angriffen schützen können“, sagt Stuart Scholly, Senior Vice President und General Manager der Security Division bei Akamai. „Die aktuellen Attacken richteten sich vorwiegend auf Finanzdienstleister und nutzten neue Strategien und Taktiken, um ihre Opfer zu belästigen, zu erpressen und letztlich in der Öffentlichkeit bloßzustellen.“
PLXsert hat bereits im April 2015 eine ausführliche Chronologie der Aktivitäten der DD4BC-Gruppe in einem Security Bulletin veröffentlicht. „Akamai’s Security Bulletin: DD4BC Operation Profile“ steht zum Download bereit unter: https://www.stateoftheinternet.com/resources-web-security-bulletin-2015-dd4bc-operation-profile-bitcoin-extortion-ransom.html.