Angler: The Rise and Fall of an Exploit Kit

Alla fine del 2013, l’allora famoso Blackhole Exploit Kit (BHEK) è scomparso dopo l’arresto di “Paunch”, il suo autore, nell’ottobre 2013.

Nel marzo del 2015 abbiamo pubblicato il nostro rapporto “The Evolution of Exploit Kits” e abbiamo notato come nel 2013 un nuovo exploit kit, Angler, è emerso silenziosamente sulla scena ed entro la fine del 2014 era salito a diventare il numero due degli exploit kit dopo il Sweet Orange Exploit Kit. Abbiamo notato Angler per la prima volta nel dicembre 2014.

Nel nostro Q2 2015 Quarterly Threat Report, “A Rising Tide: New Hacks Threaten Public Technologies,” abbiamo notato che Angler aveva superato i kit di exploit Sweet Orange e Nuclear per diventare il kit di exploit numero uno.

E poi, scrivendo sul nostro 3Q2015 Quarterly Threat Report, “Hazards Ahead: Current Vulnerabilities Prelude Impending Attacks,” ho detto che Angler era salito in cima al mucchio di exploit kit mantenendo la sua posizione numero uno per due trimestri.

Da allora, abbiamo visto Angler saldamente alla posizione numero uno per gli exploit kit.

Fino ad ora.

Nel nostro 2016 Midyear Security Roundup:” The Reign of Ransomware” la nostra ricerca mostra che il regno di Angler come il top exploit kit è finito improvvisamente.

Tutto sembrava andare bene per Angler. Fino a marzo 2016, Angler stava andando forte. Aveva finito il 2015 così forte che lo abbiamo chiamato il “Re dei kit di exploit” nel nostro 2015 Annual Security Roundup “Setting the Stage: Landscape Shifts Dictate Future Threat Response Strategies”. Nella nostra revisione di marzo 2016 degli exploit kit, abbiamo notato come Angler stava allora mostrando quasi il 60% delle rilevazioni di exploit kit.

A quel tempo, non c’era motivo di pensare che le cose sarebbero cambiate. Ma se guardate il nostro 2016 Midyear Security Roundup vedrete che da giugno, Angler era quasi scomparso.

Cosa è successo?

Arresti. Gli arresti sono quello che è successo.

In giugno abbiamo notato come l’arresto di 50 persone in Russia e nel Regno Unito per l’utilizzo di malware per rubare 25 milioni di dollari, Angler è effettivamente morto.

Se si guarda alla nostra attività di exploit kit a pagina 9 del nostro 2016 Midyear Security Roundup, si può vedere che anche a marzo, quando abbiamo scritto l’ultima volta su Angler, c’è stato l’inizio di un calo di attività (anche se era ancora chiaramente il numero uno). Ma dopo marzo c’è un calo inequivocabile di Angler fino ad avvicinarsi allo zero alla fine di giugno con appena 90K accessi (rispetto a 1,2 milioni in gennaio).

Tutte le indicazioni sono che Angler è andato per sempre. I suoi probabili autori sono stati arrestati e altri kit di exploit stanno iniziando a lottare per la posizione: I kit di exploit Neutrino e Rig si stanno muovendo entrambi per riempire il vuoto.

Mentre sarebbe meglio riferire che con Angler fuori dai giochi il problema dei kit di exploit sta scomparendo, non c’è ancora alcun dubbio che la caduta di Angler significa, almeno per ora, che l’attività dei kit di exploit è minore di quanto fosse stata. L’attività delle forze dell’ordine non è una pallottola d’argento, ma è una parte fondamentale del programma generale per mantenere le persone al sicuro.

La storia di Angler è interessante, però, perché ci permette di tracciare l’intero ciclo di vita di un pezzo di malware di grande successo.

Angler Exploit Kit: 2013 – 2016

Numero uno Exploit Kit: Maggio 2015 – Giugno 2016

Addio e buon viaggio