Angler: The Rise and Fall of an Exploit Kit

I slutningen af 2013 forsvandt det dengang berygtede Blackhole Exploit Kit (BHEK) efter anholdelsen af “Paunch”, dets ophavsmand tidligere i oktober 2013.

I marts 2015 offentliggjorde vi vores rapport “The Evolution of Exploit Kits” og bemærkede, hvordan et nyt exploit-kit, Angler, i 2013 stille og roligt dukkede op på scenen og ved udgangen af 2014 var steget til at blive nummer to blandt exploit-kittene efter Sweet Orange Exploit Kit. Vi bemærkede Angler første gang i december 2014.

I vores kvartalsvise trusselsrapport for 2. kvartal 2015, “A Rising Tide: New Hacks Threaten Public Technologies”, bemærkede vi, at Angler havde overhalet Sweet Orange- og Nuclear-exploit-kittene og var blevet nummer et.

Og derefter, da vi skrev om vores kvartalsvise trusselsrapport for 3. kvartal 2015, “Hazards Ahead: Current Vulnerabilities Prelude Impending Attacks”, sagde jeg, at Angler var steget til toppen af exploitsættet ved at bevare sin førsteplads i to kvartaler.

Siden da har vi set Angler solidt på førstepladsen for exploitsæt.

Indtil nu.

I vores 2016 Midyear Security Roundup:” The Reign of Ransomware” viser vores undersøgelser, at Anglers regeringstid som det bedste exploit kit fik en pludselig ende.

Alt syntes at gå godt for Angler. Så sent som i marts 2016 gik det stærkt for Angler. Det havde afsluttet 2015 så stærkt, at vi kaldte det “King of Exploit Kits” i vores 2015 Annual Security Roundup “Setting the Stage”: Landscape Shifts Dictate Future Threat Response Strategies”. I vores gennemgang af exploit kits fra marts 2016 bemærkede vi, hvordan Angler dengang viste næsten 60 % af detektionerne af exploit kits.

På det tidspunkt var der ingen grund til at tro, at tingene ville ændre sig. Men hvis du kigger på vores 2016 Midyear Security Roundup, vil du se, at Angler i juni næsten var forsvundet.

Hvad skete der?

Anholdelser. Anholdelser er det, der skete.

I juni bemærkede vi, hvordan anholdelsen af 50 personer i Rusland og Storbritannien for at bruge malware til at stjæle 25 millioner USD, Angler reelt døde.

Hvis du ser på vores aktivitet med exploit kit på side 9 i vores 2016 Midyear Security Roundup, kan du se, at selv i marts, hvor vi sidst skrev om Angler, var der begyndende et fald i aktiviteten (selvom den stadig var klart nummer et). Men efter marts er der et umiskendeligt fald i Angler, indtil den nærmer sig nul i slutningen af juni med blot 90K accesses (sammenlignet med 1,2 millioner i januar).

Alt tyder på, at Angler er væk for altid. Dets sandsynlige ophavsmænd er blevet pågrebet, og andre exploit kits er begyndt at kæmpe om positionen: Mens det ville være bedre at rapportere, at problemet med Angler er forsvundet med Angler, er der stadig ingen tvivl om, at Anglers fald betyder, i hvert fald indtil videre, at aktiviteten i forbindelse med exploit-kits er mindre, end den har været. Lovhåndhævelsesaktiviteter er ikke en mirakelkur, men er en vigtig del af det overordnede program for at holde folk sikre.

Angler-historien er dog interessant, fordi den giver os mulighed for at følge hele livscyklussen for et meget vellykket stykke malware.

Angler Exploit Kit: 2013 – 2016

Number One Exploit Kit: May 2015 – June 2016

Goodbye and Good Riddance

Leave a Reply