Angler: The Rise and Fall of an Exploit Kit

No final de 2013, o então famoso Blackhole Exploit Kit (BHEK) desapareceu após a prisão de “Paunch”, o seu autor no início de Outubro de 2013.

Em março de 2015 publicamos nosso relatório “The Evolution of Exploit Kits” e notamos como em 2013 um novo kit de exploração, Angler, calmamente surgiu em cena e no final de 2014 tinha subido para se tornar o kit de exploração número dois após o Sweet Orange Exploit Kit. Notámos pela primeira vez Angler em Dezembro de 2014.

No nosso Relatório Trimestral de Ameaças do 2ºT de 2015, “Uma Maré em Ascensão: Novas Tecnologias Públicas de Hacks Ameaçam”, notámos que Angler tinha ultrapassado os kits de exploração Laranja Doce e Nuclear para se tornar o kit de exploração número um.

E depois, escrevendo sobre o nosso Relatório Trimestral de Ameaças do 3ºT de 2015, “Hazards Ahead: Current Vulnerabilities Prelude Impending Attacks”, eu disse que Angler tinha subido para o topo da pilha do kit de exploração, mantendo sua posição número um por dois trimestres.

Desde então, temos visto Angler solidamente na posição número um para os kits de exploração.

Até agora.

Na nossa Rodada de Segurança do Meio do Ano de 2016:” O Reinado do Ransomware” nossa pesquisa mostra que o reinado de Angler como o kit de exploração de topo chegou a um fim súbito.

Tudo parecia estar indo bem para Angler. Ainda em março de 2016, Angler estava indo forte. Tinha terminado 2015 tão forte que lhe chamámos o “Rei dos Kits de Exploração” na nossa Ronda Anual de Segurança de 2015 “Setting the Stage”: Deslocamentos Paisagísticos Ditam Estratégias de Resposta a Ameaças Futuras.” Em nossa revisão de março de 2016 dos kits de exploração, notamos como Angler estava então mostrando quase 60% das detecções dos kits de exploração.

Naquela época, não havia razão para pensar que as coisas iriam mudar. Mas se você olhar para a nossa ronda de segurança do meio do ano 2016, você verá que em junho, Angler tinha quase desaparecido.

O que aconteceu?

Arrests. Prisões foram o que aconteceu.

Em junho nós notamos como a prisão de 50 pessoas na Rússia e no Reino Unido por usar malware para roubar US$25 milhões, Angler efetivamente morreu.

Se você olhar para a atividade do nosso kit de exploração na página 9 do nosso 2016 Midyear Security Roundup, você pode ver que mesmo em março, quando estávamos escrevendo pela última vez sobre Angler, houve o início de uma queda na atividade (embora ainda fosse claramente o número um). Mas depois de março há uma queda inconfundível em Angler até chegar a zero no final de junho com apenas 90K acessos (comparado com 1,2 milhões em janeiro).

Todos os indícios são de que Angler se foi de vez. Seus prováveis autores têm sido apreendidos e outros kits de exploração estão começando a jockey por posição: Os kits de exploração Neutrino e Rig estão ambos a mover-se para preencher o vácuo.

Embora seja melhor informar que com o Angler fora de cena o problema do kit de exploração está a desaparecer, ainda não há dúvida que a queda de Angler significa, pelo menos por agora, que a actividade do kit de exploração é menor do que tinha sido. A atividade de imposição da lei não é uma bala de prata, mas é uma parte crítica do programa geral de manter as pessoas seguras.

A história de Angler é interessante, no entanto, porque nos permite acompanhar todo o ciclo de vida de um pedaço de malware muito bem sucedido.

Angler Exploit Kit: 2013 – 2016

Número Um Kit de Exploração: Maio 2015 – Junho 2016

Bom Adeus e Boa Viagem