Angler: The Rise and Fall of an Exploit Kit

A finales de 2013, el entonces famoso Blackhole Exploit Kit (BHEK) desapareció tras la detención de «Paunch», su autor a principios de octubre de 2013.

En marzo de 2015 publicamos nuestro informe «La evolución de los kits de exploits» y señalamos cómo en 2013 un nuevo kit de exploits, Angler, apareció silenciosamente en escena y a finales de 2014 había ascendido hasta convertirse en el segundo kit de exploits después del Sweet Orange Exploit Kit. La primera vez que observamos a Angler fue en diciembre de 2014.

En nuestro informe trimestral de amenazas del segundo trimestre de 2015, «Una marea creciente: nuevos hackeos amenazan las tecnologías públicas», señalamos que Angler había superado a los kits de exploits Sweet Orange y Nuclear para convertirse en el kit de exploits número uno.

Y luego, al escribir sobre nuestro informe trimestral de amenazas del tercer trimestre de 2015, «Hazards Ahead: Current Vulnerabilities Prelude Impending Attacks», dije que Angler había subido a la cima de los kits de exploits al mantener su posición número uno durante dos trimestres.

Desde entonces, hemos visto a Angler sólidamente en la posición número uno de los kits de exploits.

Hasta ahora.

En nuestro resumen de seguridad de mitad de año de 2016: «El reinado del ransomware», nuestra investigación muestra que el reinado de Angler como principal kit de exploits llegó a su fin repentinamente.

Todo parecía ir bien para Angler. Hasta marzo de 2016, Angler iba viento en popa. Había terminado 2015 con tanta fuerza que lo llamamos el «rey de los kits de exploits» en nuestro resumen anual de seguridad de 2015 «Setting the Stage: Los cambios en el panorama dictan las futuras estrategias de respuesta a las amenazas». En nuestra revisión de marzo de 2016 de los kits de exploits, señalamos cómo Angler mostraba entonces casi el 60% de las detecciones de kits de exploits.

En ese momento, no había razón para pensar que las cosas fueran a cambiar. Pero si miras nuestro resumen de seguridad de mitad de año de 2016 verás que en junio, Angler casi había desaparecido.

¿Qué pasó?

Los arrestos. Los arrestos son lo que sucedió.

En junio observamos cómo el arresto de 50 personas en Rusia y el Reino Unido por usar malware para robar 25 millones de dólares, Angler efectivamente murió.

Si miras nuestra actividad de kits de exploits en la página 9 de nuestro 2016 Midyear Security Roundup, puedes ver que incluso en marzo, cuando escribimos por última vez sobre Angler, hubo el comienzo de una caída en la actividad (aunque todavía era claramente el número uno). Pero después de marzo hay una caída inconfundible de Angler hasta que se acerca a cero a finales de junio con apenas 90K accesos (comparado con 1,2 millones en enero).

Todo indica que Angler ha desaparecido definitivamente. Sus probables autores han sido detenidos y otros kits de explotación están empezando a disputar su posición: Los kits de exploits Neutrino y Rig se están moviendo para llenar el vacío.

Aunque sería mejor informar de que con Angler fuera de escena el problema de los kits de exploits está desapareciendo, no hay duda de que la caída de Angler significa, al menos por ahora, que la actividad de los kits de exploits es menor de lo que había sido. La actividad de las fuerzas de seguridad no es una bala de plata, pero es una parte crítica del programa general para mantener a la gente a salvo.

La historia de Angler es interesante, sin embargo, porque nos permite rastrear el ciclo de vida completo de una pieza de malware muy exitosa.

Angler Exploit Kit: 2013 – 2016

Number One Exploit Kit: Mayo 2015 – Junio 2016

Adiós y buena suerte