Angler: The Rise and Fall of an Exploit Kit

Vuoden 2013 loppupuolella silloinen pahamaineinen Blackhole Exploit Kit (BHEK) katosi sen tekijän ”Paunchin” pidätyksen jälkeen aiemmin lokakuussa 2013.

Maaliskuussa 2015 julkaisimme raporttimme ”The Evolution of Exploit Kits” ja totesimme, kuinka vuonna 2013 uusi exploit-kitti, Angler, ilmestyi hiljaa näyttämölle ja vuoden 2014 loppuun mennessä se oli noussut kakkoseksi Sweet Orange Exploit Kitin jälkeen. Ensimmäisen kerran huomasimme Anglerin joulukuussa 2014.

Kakkosneljänneksen 2015 neljännesvuosittaisessa uhkakuvausraportissamme ”A Rising Tide: New Hacks Threaten Public Technologies” (Nouseva vuorovesi: uudet hakkerit uhkaavat julkisia teknologioita) totesimme, että Angler oli ohittanut Sweet Orange- ja Nuclear-haittaohjelmakitit ja oli noussut haavoittuvuuspakettien ykkösnimeksi.

Kirjoittaessamme sitten kolmannen vuosineljänneksen 2015 neljännesvuosittaisesta uhkakuvausraportissamme Hazards Ahead (Vaaroja luvassa): Current Vulnerabilities Prelude Impending Attacks” (Nykyiset haavoittuvuudet ennakoivat lähestyviä hyökkäyksiä), totesin, että Angler oli noussut exploit-kittien huipulle säilyttämällä ykkösasemansa kahden vuosineljänneksen ajan.

Sen jälkeen Angler on pysynyt vakaasti exploit-kittien ykkösasemassa.

Vaan nyt.

Tutkimuksemme vuoden 2016 Midyear Security Roundup:” The Reign of Ransomware” osoittaa, että Anglerin valtakausi exploit kitin kärkipaikalla päättyi yllättäen.

Kaikki näytti menevän hyvin Anglerille. Vielä maaliskuussa 2016 Angler oli hyvässä vauhdissa. Se oli lopettanut vuoden 2015 niin vahvasti, että kutsuimme sitä ”exploit-kittien kuninkaaksi” vuoden 2015 vuotuisessa Security Roundup -julkaisussamme ”Setting the Stage”: Landscape Shifts Dictate Future Threat Response Strategies”. Maaliskuun 2016 exploit-paketteja koskevassa katsauksessamme totesimme, että Angler osoitti tuolloin lähes 60 prosenttia exploit-pakettihavainnoista.

Tällöin ei ollut mitään syytä uskoa, että asiat muuttuisivat. Mutta jos katsot vuoden 2016 puolivälin tietoturvaraporttiamme, huomaat, että kesäkuuhun mennessä Angler oli lähes kadonnut.

Mitä tapahtui?

Pidätykset. Pidätykset ovat se, mitä tapahtui.

Kesäkuussa totesimme, miten 50 henkilön pidättäminen Venäjällä ja Yhdistyneessä kuningaskunnassa haittaohjelman käyttämisestä 25 miljoonan Yhdysvaltain dollarin varastamiseen johti siihen, että Angler käytännössä kuoli.

Jos katsot exploit kit -aktiviteettimme vuoden 2016 puolivälin tietoturvakierroksen sivulla 9, huomaat, että jo maaliskuussa, jolloin viimeksi kirjoitimme Anglerista, aktiviteetti oli alkanut vähentyä (vaikkakin Angler oli edelleen selvästi ykkönen). Maaliskuun jälkeen Anglerin aktiivisuus kuitenkin laskee selvästi, kunnes se lähestyy nollaa kesäkuun loppuun mennessä, jolloin sitä käytettiin vain 90 000 kertaa (verrattuna tammikuun 1,2 miljoonaan).

Kaikki merkit viittaavat siihen, että Angler on kadonnut lopullisesti. Sen todennäköiset tekijät on pidätetty, ja muut exploit-paketit alkavat taistella asemastaan: Neutrino- ja Rig-hyökkäyssarjat pyrkivät molemmat täyttämään tyhjiön.

Vaikka olisikin parempi raportoida, että Anglerin poistuttua kuvioista exploit-kit-ongelma on häviämässä, ei silti ole epäilystäkään siitä, etteikö Anglerin putoaminen merkitsisi ainakin toistaiseksi sitä, että exploit-kit-aktiviteetti on vähäisempää kuin se oli aiemmin. Lainvalvontatoiminta ei ole hopealuoti, mutta se on kriittinen osa yleistä ohjelmaa, jolla pyritään pitämään ihmiset turvassa.

Anglerin tarina on kuitenkin mielenkiintoinen, koska sen avulla voimme seurata erittäin menestyksekkään haittaohjelman koko elinkaarta.

Angler Exploit Kit: 2013 – 2016

Number One Exploit Kit: May 2015 – June 2016

Goodbye and Good Riddance