Angler: The Rise and Fall of an Exploit Kit

I slutet av 2013 försvann det då ökända Blackhole Exploit Kit (BHEK) efter att ”Paunch”, dess författare, arresterats tidigare i oktober 2013.

I mars 2015 publicerade vi vår rapport ”The Evolution of Exploit Kits” och noterade hur ett nytt exploateringskit, Angler, under 2013 tyst dök upp på scenen och i slutet av 2014 hade stigit till att bli nummer två efter Sweet Orange Exploit Kit. Vi uppmärksammade Angler för första gången i december 2014.

I vår kvartalsrapport om hot från andra kvartalet 2015, ”A Rising Tide: New Hacks Threaten Public Technologies”, noterade vi att Angler hade överträffat Sweet Orange- och Nuclear-exploit-kitten och blivit det främsta exploaterings-kitet.

Och när vi sedan skrev om vår kvartalsrapport om hot från tredje kvartalet 2015, ”Hazards Ahead: Current Vulnerabilities Prelude Impending Attacks”, sade jag att Angler hade stigit till toppen av exploateringsutrustningen genom att behålla sin förstaplats i två kvartal.

Sedan dess har vi sett att Angler ligger stadigt på förstaplatsen för exploateringsutrustningar.

Intill nu.

I vår 2016 Midyear Security Roundup:” The Reign of Ransomware” visar vår forskning att Anglers regeringstid som det främsta exploit kit fick ett plötsligt slut.

Allt verkade gå bra för Angler. Så sent som i mars 2016 gick Angler bra. Det hade avslutat 2015 så starkt att vi kallade det ”King of Exploit Kits” i vår 2015 Annual Security Roundup ”Setting the Stage”: Landscape Shifts Dictate Future Threat Response Strategies”. I vår genomgång av exploit kits i mars 2016 noterade vi hur Angler då visade upp nästan 60 % av upptäckterna av exploit kits.

Det fanns då ingen anledning att tro att saker och ting skulle förändras. Men om du tittar på vår 2016 Midyear Security Roundup ser du att i juni hade Angler nästan försvunnit.

Vad hände?

Arresteringar. Arresteringar är vad som hände.

I juni noterade vi hur arresteringen av 50 personer i Ryssland och Storbritannien för att ha använt skadlig kod för att stjäla 25 miljoner US-dollar, Angler i praktiken dog.

Om du tittar på vår verksamhet med exploateringsverktyg på sidan 9 i vår 2016 Midyear Security Roundup, kan du se att till och med i mars, när vi senast skrev om Angler, fanns det en början till en nedgång i aktiviteten (även om det fortfarande var klart nummer ett). Men efter mars sker en omisskännlig minskning av Angler tills den närmar sig noll i slutet av juni med endast 90 000 åtkomster (jämfört med 1,2 miljoner i januari).

Allt tyder på att Angler är borta för gott. Dess troliga upphovsmän har gripits och andra exploateringsverktyg börjar slåss om positionen: Neutrino och Rig är båda på väg att fylla tomrummet.

Men även om det skulle vara bättre att rapportera att problemet med Angler försvinner när Angler är borta från bilden, råder det fortfarande ingen tvekan om att Anglers fall innebär, åtminstone för tillfället, att aktiviteten i fråga om exploateringsutrustningar är mindre än vad den har varit. Lagens efterlevnad är ingen patentlösning, men är en viktig del av det övergripande programmet för att hålla människor säkra.

Angler-historien är dock intressant, eftersom den låter oss följa hela livscykeln för en mycket framgångsrik skadlig kod.

Angler Exploit Kit: 2013 – 2016

Number One Exploit Kit: Maj 2015 – juni 2016

Goodbye and Good Riddance