Angler: The Rise and Fall of an Exploit Kit

2013 végén az akkoriban hírhedt Blackhole Exploit Kit (BHEK) eltűnt, miután 2013 októberében letartóztatták “Paunchot”, a szerzőt.

2015 márciusában közzétettük “Az Exploit Kitek fejlődése” című jelentésünket, amelyben megjegyeztük, hogy 2013-ban egy új exploit kit, az Angler csendben megjelent a színen, és 2014 végére a Sweet Orange Exploit Kit után a második számú exploit kit lett. Az Anglerről először 2014 decemberében tettünk említést.

A 2015. második negyedévi fenyegetésjelentésünkben, “A Rising Tide: New Hacks Threaten Public Technologies” (Egy emelkedő áradat: Új hackek fenyegetik a nyilvános technológiákat), megjegyeztük, hogy az Angler megelőzte a Sweet Orange és a Nuclear exploit kiteket, és az első számú exploit kit lett.

Aztán a 2015. harmadik negyedévi fenyegetésjelentésünkben, “Hazards Ahead: Current Vulnerabilities Prelude Impending Attacks”, azt írtam, hogy az Angler az exploit kitek csúcsára emelkedett, mivel két negyedéven keresztül megtartotta első helyét.

Azóta az Angler stabilan az első helyen áll az exploit kitek között.

Mostanáig.

A 2016 Midyear Security Roundup:” The Reign of Ransomware” című cikkünkben a kutatásunk azt mutatja, hogy az Angler uralma az exploit kitek élén hirtelen véget ért.

Az Angler számára úgy tűnt, hogy minden jól megy. Még 2016 márciusában az Angler nagyon jól ment. A 2015-ös évet olyan erősen zárta, hogy a 2015-ös “Setting the Stage” című éves biztonsági körképünkben az “Exploit Kitek királyának” neveztük: Landscape Shifts Dictate Future Threat Response Strategies”. Az exploit kitekről szóló 2016. márciusi áttekintésünkben megjegyeztük, hogy az Angler akkoriban az exploit kit észlelések közel 60%-át mutatta ki.

Akkor még nem volt okunk azt gondolni, hogy a dolgok változni fognak. De ha megnézi a 2016-os évközi biztonsági összefoglalónkat, láthatja, hogy júniusra az Angler majdnem eltűnt.

Mi történt?

Letartóztatások. Letartóztatások történtek.

Júniusban megjegyeztük, hogy 50 ember letartóztatásával Oroszországban és az Egyesült Királyságban, akik 25 millió dollár ellopására használtak rosszindulatú szoftvereket, az Angler gyakorlatilag meghalt.

Ha megnézi a 2016 Midyear Security Roundup 9. oldalán az exploit kitek aktivitását, láthatja, hogy már márciusban, amikor utoljára írtunk az Anglerről, az aktivitás csökkenése kezdődött (bár még mindig egyértelműen ez volt az első számú). Március után azonban félreérthetetlenül csökken az Angler aktivitása, mígnem június végére a nullához közelít, mindössze 90 ezer hozzáféréssel (szemben a januári 1,2 millióval).

Minden jel arra utal, hogy az Angler végleg eltűnt. A valószínűsíthető szerzőit letartóztatták, és más exploit-készletek kezdenek versenyezni a pozícióért: A Neutrino és a Rig exploit kitek egyaránt igyekeznek betölteni a vákuumot.

Míg jobb lenne azt jelenteni, hogy az Angler eltűnésével az exploit kit probléma megszűnik, még mindig nem kétséges, hogy az Angler bukása azt jelenti, legalábbis egyelőre, hogy az exploit kitek aktivitása kevesebb, mint korábban volt. A bűnüldözési tevékenység nem egy csodafegyver, de kritikus része az emberek biztonságát szolgáló átfogó programnak.

Az Angler története azért érdekes, mert így nyomon követhetjük egy nagyon sikeres kártevő teljes életciklusát.

Angler Exploit Kit: 2013 – 2016

Number One Exploit Kit: May 2015 – June 2016

Goodbye and Good Riddance