Angler: The Rise and Fall of an Exploit Kit

La sfârșitul anului 2013, celebrul pe atunci Blackhole Exploit Kit (BHEK) a dispărut după arestarea lui „Paunch”, autorul său, la începutul lunii octombrie 2013.

În martie 2015, am publicat raportul nostru „Evoluția kiturilor de exploatare” și am observat cum în 2013 un nou kit de exploatare, Angler, a apărut discret pe scenă și, până la sfârșitul anului 2014, a ajuns să devină kitul de exploatare numărul doi, după Sweet Orange Exploit Kit. Am remarcat pentru prima dată Angler în decembrie 2014.

În raportul nostru trimestrial privind amenințările din al doilea trimestru al anului 2015, „A Rising Tide: New Hacks Threaten Public Technologies”, am observat că Angler a depășit kiturile de exploatare Sweet Orange și Nuclear pentru a deveni kitul de exploatare numărul unu.

Și apoi, scriind despre raportul nostru trimestrial privind amenințările din al treilea trimestru al anului 2015, „Hazards Ahead: Current Vulnerabilities Prelude Impending Attacks” (Vulnerabilitățile actuale prefațează atacuri iminente), am spus că Angler a urcat în vârful grămezii de kituri de exploatare, menținându-și poziția numărul unu timp de două trimestre.

De atunci, am văzut că Angler se află în mod solid pe poziția numărul unu în ceea ce privește kiturile de exploatare.

Până acum.

În studiul nostru 2016 Midyear Security Roundup:” The Reign of Ransomware”, cercetarea noastră arată că domnia lui Angler ca kit de exploit de top s-a încheiat brusc.

Toate păreau să meargă bine pentru Angler. Până recent, în martie 2016, Angler mergea bine. Încheiase anul 2015 atât de puternic încât l-am numit „Regele kiturilor de exploatare” în raportul nostru anual de securitate din 2015 „Setting the Stage: Landscape Shifts Dictate Future Threat Response Strategies”. În analiza noastră din martie 2016 a kiturilor de exploatare, am remarcat cum Angler prezenta atunci aproape 60 % din detecțiile kiturilor de exploatare.

La acel moment, nu existau motive să credem că lucrurile se vor schimba. Dar dacă vă uitați la Raportul nostru de securitate de la jumătatea anului 2016, veți vedea că, până în iunie, Angler aproape că dispăruse.

Ce s-a întâmplat?

Arestări. Arestările sunt ceea ce s-a întâmplat.

În iunie am notat cum, prin arestarea a 50 de persoane în Rusia și în Regatul Unit pentru utilizarea de malware pentru a fura 25 de milioane de dolari, Angler a murit efectiv.

Dacă vă uitați la activitatea kiturilor de exploatare de la pagina 9 din 2016 Midyear Security Roundup, puteți vedea că, chiar și în martie, când am scris ultima dată despre Angler, a existat începutul unei scăderi a activității (deși era încă în mod clar numărul unu). Dar, după luna martie, există o scădere inconfundabilă a lui Angler până când se apropie de zero la sfârșitul lunii iunie, cu doar 90 000 de accesări (față de 1,2 milioane în ianuarie).

Toate indiciile arată că Angler a dispărut definitiv. Autorii săi probabili au fost prinși, iar alte kituri de exploatare încep să își dispute poziția: Neutrino și kiturile de exploatare Neutrino și Rig se mișcă amândouă pentru a umple vidul.

În timp ce ar fi mai bine să raportăm că, odată cu ieșirea lui Angler din peisaj, problema kiturilor de exploatare dispare, nu există nicio îndoială că căderea lui Angler înseamnă, cel puțin deocamdată, că activitatea kiturilor de exploatare este mai mică decât a fost. Activitatea de aplicare a legii nu este un glonț de argint, dar este o parte esențială a programului general de menținere a siguranței oamenilor.

Povestea Angler este totuși una interesantă, deoarece ne permite să urmărim întregul ciclu de viață al unei bucăți de malware de mare succes.

Angler Exploit Kit: 2013 – 2016

Numărul 1 al kitului de exploatare: Mai 2015 – Iunie 2016

Goodbye and Good Riddance

(La revedere și la revedere)

Leave a Reply