Akamai : focus sur les exactions du groupe pirate DD4BC

Via PLXsert (Prolexic Security Engineering & Research), Akamai a pu observer les attaques et les tactiques du DD4BC contre ses clients entre septembre 2014 et août 2015. Depuis avril 2015, l’équipe d’Akamai a identifié pas moins de 114 attaques du groupe dont certaines plus agressives ciblant la réputation de marque au travers des réseaux sociaux. La bande passante de ces attaques DDoS était en moyenne de 13,34 Gbit/s et la plus ample est parvenue à atteindre les 56,2 Gbit/s.

Stuart Scholly, Senior Vice President & General Manager, Security Division d’Akamai  souligne « DD4BC exploite les attaques DDoS pour extorquer des paiements en Bitcoin de ses victimes en échange d’une protection contre de futures attaques. Les dernières attaques en date, visant principalement le secteur des services financiers, ont fait appel à de nouvelles stratégies et tactiques destinées à harceler, exercer un chantage, puis finalement mettre à mal publiquement la victime». Les premières campagnes d’extorsions du groupe remontent à 2014, avant d’étendre les extorsions de fonds et attaques à d’autres secteurs d’activité à savoir services financiers, médias et divertissement, jeu en ligne, grande distribution.

La méthode est toujours la même. Le groupe informe préalablement ses victimes par mail qu’une attaque DDoS de bas niveau va être lancée à l’encontre de leur site web. Dans l’étude, Akamai explique que de juin 2015 à juillet 2015, plusieurs de ces attaques ont dépassé les 20 Gbit/s. Ensuite, il suffit d’opter par une classique phase d’intimidation afin d’exiger une rançon en Bitcoin et offrir même le service pour protéger l’entreprise contre des attaques DDoS de grande ampleur. Un modus operandi qui n’est pas sans rappeler celui de la Mafia dans les villes siciliennes… Le DD4BC lance des campagnes d’attaques DDoS à vecteurs multiples en s’en prenant à d’anciennes victimes et en y intégrant des attaques au niveau de la couche 7 afin de se concentrer sur la vulnérabilité pingback de WordPress.

Le groupe ne s’arrête pas simplement à cette extorsion mais peut décider de divulguer sur les réseaux sociaux le nom des entreprises ciblées… L’objectif étant de mettre en valeur l’incapacité de l’entreprise à se protéger et surtout à éviter l’interruption de service, première cause de baisse de la e-réputation. 

Dans cette optique, Akamai conseille de mettre en place des méthodes de détection d’anomalies et de signature afin d’identifier et stopper les attaques avant qu’elles ne parviennent à rendre indisponible le site web, de répartir les ressources pour renforcer la résilience et éviter les points uniques de défaillance impulsés à une attaque, pour finir, d’installer des appliances de neutralisation DDoS au niveau de la couche 7 sur les nœuds du réseau.