DD4BC es un grupo de delincuentes cibernéticos que elige para chantajear a empresas específicas, pidiéndoles pagar bitcoins para evitar que sus servicios centrales sean objeto de ataques DDoS. Es decir, el atacante exige una cantidad de dinero en Bitcoins para parar los ataques que el mismo está lanzando.

El grupo exige dinero (Bitcoins) a cambio de parar los ataques DDoS

Desde hace casi un año o más, existe un individuo u organización que se autodenomina DD4BC ('DDoS for Bitcoin') que ha aumentado rápidamente tanto la frecuencia y el alcance de sus intentos de extorsión DDoS, cambiando la demografía de sus objetivos desde sitios de intercambios Bitcoin hasta casinos en línea y salas de apuestas y, más recientemente, incluso a las instituciones prominentes financieras como bancos, plataformas de negociación, en todo Estados Unidos, Europa, Asia, Australia, y Nueva Zelanda. 

A pesar de una recompensa de al menos 26.000 dólares (110 BTC) para obtener información sobre DD4BC, los ataques continúan y un mayor volumen de cartas de extorsión siguen siendo enviados a mediados / finales de mayo y principios de junio de 2015. Los indicadores muestran que DD4BC DDoS extorsión ataques comenzaron en algún momento alrededor de julio de 2014 y continuar partir de este escrito a principios de junio de 2015, con el aumento de demandas de extorsión recientemente a 100 BTC, dependiendo del destino atacado.

El patrón típico de la pandilla DD4BC es lanzar ataques DDoS dirigidos a la capa 3-4, pero si esto no tiene el efecto deseado, lo moverá a la capa 7 con varios tipos de ataques POST/GET. El ataque inicial normalmente se encuentra en una escala entre 10-20GBps. Esto es bastante masiva, pero a menudo ni siquiera cerca de la verdadera amenaza.

En lugar de ceder y pagar DD4BC una cierta cantidad de Bitcoins, se recomienda a las víctimas a hablar con su proveedor de servicios de Internet (ISP) para discutir las técnicas de mitigación, como la tasa basada en IP limitar o filtro de direcciones IP Geo (temporal). Además, se recomienda presentar una denuncia penal en su policía local.  Las técnicas de mitigación posibles (estos tienen que ser discutido con su ISP o su proveedor):


Otros mercados que reciben amenazas de extorsión incluyen los ISP y los editores de todo lo cual sugiere que el atacante está diversificando intentos de generar fondos.

La semana pasada, ASERT proporcionó a los clientes de Arbor con un estudio situacional en formato PDF:

•  Amenaza Breve 2015-04 DD4BC DDoS Extorsión Amenaza Actividad.

Este reporte de amenazas perfiles incluye en el informe, al menos, treinta y siete ataques distintos y / o campañas de ataques lanzados por el actor (s) DD4BC entre principios de 2014 y finales de mayo de 2014.


Incluye los correos electrónicos con las muestra de extorsión, las transacciones financieras con sede en Bitcoin  y referencias a varios recursos sobre cómo mitigar fácilmente los ataques de este actor o por atacantes por imitación.

Según una investigación publicada por el Equipo de Respuesta de Emergencia suiza Government Computer, DD4BC es teóricamente capaz de lanzar ataques que consumen un ancho de banda de hasta 500 Gbit / s, que es unas 1.000 veces la capacidad de una línea DSL / cable, tomando ventaja de la amplificación ataques que abusan del NTP, SSDP o protocolo DNS. En realidad, Incapsula, una plataforma de distribución de aplicaciones en la nube, ha señalado en un blog que el grupo general lanza pequeños ataques a nivel de aplicaciones que pico a 150 solicitudes por segundo.


Las hazañas de DD4BC se remontan al menos un año. En noviembre de 2014, surgieron informes del grupo después de haber enviado una nota al intercambio Bitalo Bitcoin Bitcoin exigiendo 1 Bitcoin a cambio de ayudar a mejorar el sitio de su protección contra los ataques DDoS.

Al mismo tiempo, DD4BC ejecutado un ataque a pequeña escala para demostrar la vulnerabilidad del cambio a este método de interrupción. Bitalo en última instancia se negó a pagar el rescate, sin embargo. En su lugar, puso en su sitio web públicamente y acusó al grupo de chantaje y extorsión, así como crear una recompensa de más de USD $ 25,000 por información sobre la identidad de los que están detrás DD4BC.

Desde entonces, el grupo ha comenzado a exigir el pago de rescates Bitcion a cambio de abstenerse de lanzar campañas DDoS a gran escala. En marzo de este año, por ejemplo, DD4BC dirigido Bitmain, una de las mayores empresas de fabricación de equipos de minería Bitcoin en el mundo, y exigió un pago de un rescate de 10 BTC para prevenir un ataque. Como Bitalo, Bitmain se negó a pagar el rescate. De hecho, en última instancia, añadió 10 Bitcoins de recompensas existente Bitalo.

DD4BC sigue activo y existe hasta 25 Bitcoins de las partes afectadas, a cambio de la garantía contra un gran ataque DDoS.

Noticias y otros organismos de seguridad han estado discutiendo la DD4BC (DDoS para BitCoin) es un atacante o un grupo que han estado sometiendo a diversos objetivos de extorsión ataques DDoS

Vector de Ataque DDoS: Amplificación SSDP y NTP

Ataques UDP Reflection Flood DrDoS (Inundación mediante Amplificación)

En los últimos días MELANI / GovCERT.ch ha recibido varias solicitudes relativas a una denegación de servicio distribuido campaña (DDoS) extorsión relacionada con 'DD4BC'.

El Equipo DD4BC (así es como llaman a sí mismos los atacantes) inició sus campañas DDoS extorsión en 2014. Mientras que estos ataques se han dirigido a las organizaciones extranjeras en los últimos meses, hemos visto un aumento de la actividad de DD4BC en Europa recientemente. Desde principios de esta semana, el Equipo DD4BC expandió sus operaciones a Suiza.

 MELANI / GovCERT.ch tiene conocimiento de varios objetivos de alto perfil en Suiza que han recibido recientemente un chantaje de DD4BC y en consecuencia han sufrido ataques DDoS, obviamente, llevados a cabo por DD4BC.

 Los ataques DDoS por lo general comienzan con NTP (puerto 123 UDP) y SSDP (puerto 1900 UDP) ataques de amplificación dirigidas a las víctimas de sitios web públicos, aprovechando millones de dispositivos inseguros o mal configurados de todo el mundo.

Más tarde, hemos visto que los atacantes se mueven a la inundación TCP SYN y la capa 7 ataques a las medidas de mitigación de derivación tomadas por el ISP. Aprovechando los ataques de amplificación abusando el protocolo NTP, SSDP o DNS, los atacantes son en teoría capaz de lanzar ataques DDoS que consumen un ancho de banda de hasta 500 Gbit / s (que está a unos 1'000 veces más que un general DSL / Cable línea es capaz de manejar). Sin embargo, hasta ahora no hemos observado ataques DDoS realizadas por DD4BC sean sólo de 4 a 30 Gbit / s.

Mapa dispositivos SSDP vulnerables en Europa:


Fuente origen gráfico: The Shadowserver Foundation

Para mitigar las inundaciones TCP SYN y capa 7 ataques basados en (por ejemplo, inundaciones HTTP ), es posible que desee aplicar la limitación de velocidad en base a la dirección IP de origen

La mayoría de los sitios web están alojados en servidores que sólo se están ejecutando un servicio web. Por lo tanto no hay razón para permitir que todo el tráfico UDP hacia su servidor web. Es posible que desee considerar abandonar cualquier tráfico UDP hacia su servidor web a su o sus ISPs borde de la red

Si usted es anfitrión de las infraestructuras críticas en la misma red que su sitio web, usted debe considerar mover su sitio web para una red diferente o un proveedor contra DDoS como por ejemplo CloudFlare

Mitigación de ataques UDP Reflection DrDoS

Fuentes:
https://asert.arbornetworks.com/dd4bc-ddos-extortion-threat-activity/
http://www.govcert.admin.ch/blog/6/increase-in-ddos-extortion-dd4bc