Angler: The Rise and Fall of an Exploit Kit

Pod koniec 2013 roku, niesławny wówczas Blackhole Exploit Kit (BHEK) zniknął po aresztowaniu „Pauncha”, jego autora wcześniej w październiku 2013 roku.

W marcu 2015 r. opublikowaliśmy nasz raport „The Evolution of Exploit Kits” i zauważyliśmy, jak w 2013 r. nowy zestaw exploitów, Angler, po cichu pojawił się na scenie, a do końca 2014 r. wzrósł, by stać się numerem dwa wśród zestawów exploitów po Sweet Orange Exploit Kit. Po raz pierwszy zwróciliśmy uwagę na Anglera w grudniu 2014 r.

W naszym kwartalnym raporcie o zagrożeniach za II kwartał 2015 r., „A Rising Tide: New Hacks Threaten Public Technologies”, zauważyliśmy, że Angler wyprzedził zestawy exploitów Sweet Orange i Nuclear, stając się zestawem exploitów numer jeden.

A następnie, pisząc o naszym kwartalnym raporcie o zagrożeniach za III kwartał 2015 r., „Hazards Ahead: Current Vulnerabilities Prelude Impending Attacks”, powiedziałem, że Angler wzniósł się na szczyt sterty zestawów exploitów, utrzymując pozycję numer jeden przez dwa kwartały.

Od tego czasu widzimy Anglera solidnie na pozycji numer jeden dla zestawów exploitów.

Do teraz.

W naszym 2016 Midyear Security Roundup:” The Reign of Ransomware” nasze badania pokazują, że panowanie Anglera jako najlepszego zestawu exploitów nagle się skończyło.

Wszystko wydawało się iść dobrze dla Anglera. Jeszcze w marcu 2016 roku Angler miał się dobrze. Zakończył rok 2015 tak silnie, że nazwaliśmy go „Królem zestawów exploitów” w naszym 2015 Annual Security Roundup „Setting the Stage: Landscape Shifts Dictate Future Threat Response Strategies”. W naszym przeglądzie zestawów exploitów z marca 2016 r. zauważyliśmy, jak Angler wykazywał wtedy prawie 60% wykryć zestawów exploitów.

W tamtym czasie nie było powodu, aby sądzić, że sytuacja się zmieni. Jednak jeśli spojrzycie na nasz 2016 Midyear Security Roundup, zobaczycie, że do czerwca Angler prawie zniknął.

Co się stało?

Aresztowania. Aresztowania są tym, co się stało.

W czerwcu zauważyliśmy, jak po aresztowaniu 50 osób w Rosji i Wielkiej Brytanii za wykorzystanie złośliwego oprogramowania do kradzieży 25 milionów dolarów, Angler skutecznie umarł.

Jeśli spojrzycie na naszą aktywność zestawów exploitów na stronie 9 naszego 2016 Midyear Security Roundup, zobaczycie, że nawet do marca, kiedy po raz ostatni pisaliśmy o Anglerze, można było zauważyć początek spadku aktywności (chociaż nadal był on wyraźnie numerem jeden). Jednak po marcu nastąpił wyraźny spadek aktywności Anglera, aż do momentu, gdy pod koniec czerwca jego liczba dostępów spadła do zera, osiągając zaledwie 90 tys. (w porównaniu z 1,2 mln w styczniu).

Wszystkie przesłanki wskazują na to, że Angler zniknął na dobre. Jego prawdopodobni autorzy zostali zatrzymani, a inne zestawy exploitów zaczynają walczyć o swoją pozycję: Zestawy exploitów Neutrino i Rig zmierzają do wypełnienia próżni.

Chociaż lepiej byłoby powiedzieć, że z Anglerem problem zestawów exploitów zniknął, nadal nie ma wątpliwości, że upadek Anglera oznacza, przynajmniej na razie, że aktywność zestawów exploitów jest mniejsza niż wcześniej. Aktywność organów ścigania nie jest srebrną kulą, ale stanowi krytyczną część ogólnego programu zapewnienia ludziom bezpieczeństwa.

Historia Anglera jest jednak interesująca, ponieważ pozwala nam prześledzić pełny cykl życia bardzo udanego kawałka szkodliwego oprogramowania.

Angler Exploit Kit: 2013 – 2016

Number One Exploit Kit: Maj 2015 – Czerwiec 2016

Żegnaj i Good Riddance

.