Angler: The Rise and Fall of an Exploit Kit

Ende 2013 verschwand das damals berüchtigte Blackhole Exploit Kit (BHEK) nach der Verhaftung von „Paunch“, seinem Autor, Anfang Oktober 2013.

Im März 2015 veröffentlichten wir unseren Bericht „The Evolution of Exploit Kits“ (Die Entwicklung von Exploit-Kits) und stellten fest, dass 2013 ein neues Exploit-Kit, Angler, still und leise auf der Bildfläche erschien und bis Ende 2014 zum zweitgrößten Exploit-Kit nach dem Sweet Orange Exploit Kit aufstieg. Wir haben erstmals im Dezember 2014 auf Angler hingewiesen.

In unserem vierteljährlichen Bedrohungsbericht für das zweite Quartal 2015, „A Rising Tide: New Hacks Threaten Public Technologies“, stellten wir fest, dass Angler die Exploit-Kits Sweet Orange und Nuclear überholt hatte und zum Exploit-Kit Nummer eins aufgestiegen war.

Und dann, als wir über unseren vierteljährlichen Bedrohungsbericht für das dritte Quartal 2015, „Hazards Ahead: Current Vulnerabilities Prelude Impending Attacks“ (Aktuelle Schwachstellen kündigen bevorstehende Angriffe an), schrieb ich, dass Angler an die Spitze des Exploit-Kit-Haufens aufgestiegen ist, indem es seine Position als Nummer eins zwei Quartale lang gehalten hat.

Seitdem haben wir gesehen, dass Angler fest auf der Nummer eins der Exploit-Kits steht.

Bis jetzt.

In unserem 2016 Midyear Security Roundup:“ The Reign of Ransomware“ zeigen unsere Untersuchungen, dass die Herrschaft von Angler als Top-Exploit-Kit zu einem plötzlichen Ende kam.

Alles schien gut für Angler zu laufen. Noch im März 2016 war Angler stark im Kommen. Es hatte das Jahr 2015 so stark beendet, dass wir es in unserem 2015 Annual Security Roundup „Setting the Stage“ als den „König der Exploit-Kits“ bezeichneten: Landscape Shifts Dictate Future Threat Response Strategies“. In unserem Bericht über Exploit-Kits vom März 2016 stellten wir fest, dass Angler damals fast 60 % der Entdeckungen von Exploit-Kits ausmachte.

Zu diesem Zeitpunkt gab es keinen Grund zu der Annahme, dass sich die Dinge ändern würden. Aber wenn Sie sich unser Sicherheits-Roundup zur Jahresmitte 2016 ansehen, werden Sie sehen, dass Angler im Juni fast verschwunden war.

Was ist passiert?

Verhaftungen. Verhaftungen sind das, was passiert ist.

Im Juni haben wir festgestellt, dass mit der Verhaftung von 50 Personen in Russland und im Vereinigten Königreich, die Malware zum Diebstahl von 25 Millionen US-Dollar eingesetzt haben, Angler praktisch gestorben ist.

Wenn Sie sich die Exploit-Kit-Aktivitäten auf Seite 9 unseres Sicherheits-Roundups zur Jahresmitte 2016 ansehen, können Sie feststellen, dass bereits im März, als wir das letzte Mal über Angler geschrieben haben, ein Rückgang der Aktivitäten zu verzeichnen war (obwohl es immer noch eindeutig die Nummer eins war). Doch nach dem März ist ein deutlicher Rückgang bei Angler zu verzeichnen, bis es sich Ende Juni mit nur noch 90.000 Zugriffen (gegenüber 1,2 Millionen im Januar) dem Nullpunkt nähert.

Alles deutet darauf hin, dass Angler endgültig verschwunden ist. Seine wahrscheinlichen Autoren wurden festgenommen und andere Exploit-Kits beginnen, um ihre Position zu ringen: Die Exploit-Kits Neutrino und Rig versuchen beide, das Vakuum zu füllen.

Es wäre zwar besser zu sagen, dass das Exploit-Kit-Problem mit dem Verschwinden von Angler von der Bildfläche verschwindet, aber es besteht dennoch kein Zweifel daran, dass der Fall von Angler bedeutet, dass die Exploit-Kit-Aktivität zumindest im Moment geringer ist als zuvor. Strafverfolgungsmaßnahmen sind kein Allheilmittel, aber sie sind ein wichtiger Teil des Gesamtprogramms zum Schutz der Menschen.

Die Geschichte von Angler ist jedoch interessant, weil sie uns den gesamten Lebenszyklus einer sehr erfolgreichen Malware verfolgen lässt.

Angler Exploit Kit: 2013 – 2016

Number One Exploit Kit: Mai 2015 – Juni 2016

Goodbye and Good Riddance