Angler : L’essor et la chute d’un kit d’exploitation

Fin 2013, le kit d’exploitation Blackhole (BHEK), alors tristement célèbre, a disparu après l’arrestation de « Paunch », son auteur, plus tôt en octobre 2013.

En mars 2015, nous avons publié notre rapport « L’évolution des kits d’exploitation » et avons noté comment, en 2013, un nouveau kit d’exploitation, Angler, a discrètement émergé sur la scène et, fin 2014, s’était hissé au deuxième rang des kits d’exploitation après le kit d’exploitation Sweet Orange. Nous avons signalé Angler pour la première fois en décembre 2014.

Dans notre rapport trimestriel sur les menaces du deuxième trimestre 2015, « Une marée montante : de nouveaux piratages menacent les technologies publiques », nous avons noté qu’Angler avait dépassé les kits d’exploitation Sweet Orange et Nuclear pour devenir le kit d’exploitation numéro un.

Et ensuite, en écrivant sur notre rapport trimestriel sur les menaces du troisième trimestre 2015, « Hazards Ahead : Current Vulnerabilities Prelude Impending Attacks « , j’ai dit qu’Angler s’était hissé au sommet du tas de kits d’exploitation en conservant sa position de numéro un pendant deux trimestres.

Depuis lors, nous avons vu Angler solidement à la position de numéro un des kits d’exploitation.

Jusqu’à maintenant.

Dans notre 2016 Midyear Security Roundup : « The Reign of Ransomware », nos recherches montrent que le règne d’Angler en tant que premier kit d’exploitation a connu une fin soudaine.

Tout semblait aller pour le mieux pour Angler. Aussi récemment qu’en mars 2016, Angler était en pleine forme. Il avait terminé l’année 2015 si fort que nous l’avons appelé le  » roi des kits d’exploitation  » dans notre tour d’horizon annuel de la sécurité 2015  » Setting the Stage : Landscape Shifts Dictate Future Threat Response Strategies ». Dans notre examen des kits d’exploitation de mars 2016, nous avons noté comment Angler affichait alors près de 60 % des détections de kits d’exploitation.

À ce moment-là, il n’y avait aucune raison de penser que les choses allaient changer. Mais si vous regardez notre 2016 Midyear Security Roundup, vous verrez qu’en juin, Angler avait presque disparu.

Que s’est-il passé ?

Des arrestations. Les arrestations sont ce qui s’est passé.

En juin, nous avons noté comment l’arrestation de 50 personnes en Russie et au Royaume-Uni pour avoir utilisé des logiciels malveillants pour voler 25 millions de dollars US, Angler est effectivement mort.

Si vous regardez notre activité de kit d’exploitation à la page 9 de notre 2016 Midyear Security Roundup, vous pouvez voir que même en mars, lorsque nous écrivions pour la dernière fois sur Angler, il y avait le début d’une baisse d’activité (bien qu’il soit toujours clairement numéro un). Mais après mars, il y a une baisse indubitable d’Angler jusqu’à ce qu’il approche de zéro à la fin du mois de juin avec seulement 90K accès (contre 1,2 million en janvier).

Tout indique qu’Angler a disparu pour de bon. Ses auteurs probables ont été appréhendés et d’autres kits d’exploitation commencent à se disputer la place : Les kits d’exploitation Neutrino et Rig sont en train de combler le vide.

Bien qu’il serait préférable d’affirmer qu’avec l’élimination d’Angler, le problème des kits d’exploitation disparaît, il ne fait aucun doute que la chute d’Angler signifie, pour le moment du moins, que l’activité des kits d’exploitation est moins importante qu’auparavant. L’activité des forces de l’ordre n’est pas une solution miracle, mais c’est un élément essentiel du programme global visant à assurer la sécurité des personnes.

L’histoire d’Angler est cependant intéressante, car elle nous permet de suivre le cycle de vie complet d’un malware très réussi.

Kit d’exploitation Angler : 2013 – 2016

Kit d’exploitation numéro un : Mai 2015 – Juin 2016

Au revoir et bon débarras

.