Angler: The Rise and Fall of an Exploit Kit

Na de arrestatie van “Paunch,” de auteur ervan eerder in oktober 2013, verdween eind 2013 de toen beruchte Blackhole Exploit Kit (BHEK).

In maart van 2015 publiceerden we ons rapport “The Evolution of Exploit Kits” en merkten op hoe in 2013 een nieuwe exploitkit, Angler, stilletjes opdook op het toneel en tegen het einde van 2014 was gestegen tot de nummer twee exploitkit na de Sweet Orange Exploit Kit. We merkten Angler voor het eerst op in december 2014.

In ons Q2 2015 Quarterly Threat Report, “A Rising Tide: New Hacks Threaten Public Technologies,” merkten we op dat Angler de Sweet Orange en Nuclear exploit kits was voorbijgestreefd om de nummer één exploit kit te worden.

En dan, schrijvend over ons 3Q2015 Quarterly Threat Report, “Hazards Ahead: Current Vulnerabilities Prelude Impending Attacks,” zei ik dat Angler was gestegen naar de top van de exploit kit hoop door het handhaven van zijn nummer een positie voor twee kwartalen.

Sindsdien hebben we Angler stevig op de nummer een positie voor exploit kits gezien.

Tot nu.

In onze 2016 Midyear Security Roundup:” The Reign of Ransomware” toont ons onderzoek aan dat Anglers heerschappij als de top exploit kit tot een plotseling einde kwam.

Alles leek goed te gaan voor Angler. Tot maart 2016 ging Angler sterk. Het had 2015 zo sterk afgesloten dat we het de “King of Exploit Kits” noemden in onze 2015 Annual Security Roundup “Setting the Stage: Landscape Shifts Dictate Future Threat Response Strategies.” In ons overzicht van exploitkits van maart 2016 merkten we op hoe Angler toen bijna 60% van de exploitkit-detecties liet zien.

Op dat moment was er geen reden om te denken dat de dingen zouden veranderen. Maar als je naar onze 2016 Midyear Security Roundup kijkt, zie je dat Angler in juni bijna verdwenen was.

Wat is er gebeurd?

Arrestaties. Arrestaties zijn wat er gebeurde.

In juni merkten we op hoe de arrestatie van 50 mensen in Rusland en het Verenigd Koninkrijk voor het gebruik van malware om 25 miljoen dollar te stelen, Angler effectief stierf.

Als je kijkt naar onze exploit kit-activiteit op pagina 9 van onze 2016 Midyear Security Roundup, kun je zien dat zelfs in maart, toen we voor het laatst over Angler schreven, er een begin was van een daling in de activiteit (hoewel het nog steeds duidelijk nummer één was). Maar na maart is er een onmiskenbare daling in Angler totdat het eind juni het nulpunt nadert met nog maar 90K toegangen (vergeleken met 1.2 miljoen in januari).

Alle indicaties wijzen erop dat Angler voorgoed verdwenen is. De vermoedelijke auteurs zijn gearresteerd en andere exploitkits beginnen om hun positie te strijden: Neutrino en Rig exploitkits zijn beide in beweging om het vacuüm op te vullen.

Hoewel het beter zou zijn om te melden dat met Angler uit beeld het exploitkit probleem verdwijnt, is er nog steeds geen twijfel dat de val van Angler betekent, voor nu althans, dat de exploitkit activiteit minder is dan het geweest is. Wetshandhavingsactiviteit is geen zilveren kogel, maar is een cruciaal onderdeel van het totale programma om mensen veilig te houden.

Het Angler-verhaal is echter een interessant verhaal, omdat het ons de volledige levenscyclus van een zeer succesvol stuk malware laat volgen.

Angler Exploit Kit: 2013 – 2016

Number One Exploit Kit: Mei 2015 – juni 2016

Goodbye and Good Riddance