Cisco Talos golpea a Angler Exploit Kit, que generaba US$ 60 millones anualmente en extorsiones

Este post fue escrito por Nick Biasini con contribuciones de Joel Esler, Nick Hebert, Warren Mercer, Matt Olney, Melissa Taylor, y Craig Williams. 

Ayer, Cisco dio un duro golpe a las estructuras de hackers, interrumpiendo una significativa fuente internacional de ingresos generada por el reconocido 'Angler Exploit Kit'. Angler es uno de los más grandes exploit kits en el mercado y ha estado haciendo noticia, ya que se ha relacionado con varias campañas de publicidad maliciosa/ransomware de alto perfil.

Hasta ahora Angler ha sido el más avanzado y preocupante exploit kit en el mercado, diseñado para eludir dispositivos de seguridad y atacar a la mayor cantidad de equipos posibles como objetivo final.

En su investigación, Cisco determinó que un excesivo número de servidores proxy utilizados por Angler estaban ubicados en los servidores del proveedor de servicios Limestone Networks –con la principal amenaza responsable de hasta el 50% de la actividad del Angler Exploit Kit, que iba dirigido a 90.000 víctimas por día, generando más más de $30 millones al año. Esto implica, que si se aplica toda la actividad de Angler, los ingresos generados podrían superar los $60 millones anuales. Talos ha gando visibilidad adicional en la actividad global de la red a través de su colaboración permanente con el Nivel 3 de Threat Research Labs. Por último, gracias a nuestra continua colaboración con OpenDNS fuimos capaces de ver a profundidad la actividad del dominio asociado a los competidores. 

Medidas tomadas por Cisco:

·         Cierre de acceso a clientes mediante la actualización de productos para detener el redireccionamiento a los servidores proxy de Anger.

·         Publicación de reglas de Snort para detectar y bloquear verificaciones de los controles de seguridad.

·         Todas las reglas están siendo publicadas a la comunidad a través de Snort.

·         Los mecanismos de publicación de comunicaciones incluyen protocolos para que otros puedan protegerse y proteger a sus clientes.

·         Cisco también está publicando IoCs (Indicators of Compromise) para que los clientes puedan analizar su propia actividad en la red y bloquear el acceso a los servidores restantes.

Este es un golpe significativo a la economía emergente de hackers donde el ransomware y la venta en el mercado negro de IPs, información de tarjetas de crédito e información de identificación personal (PII) robadas generan cientos de millones de dólares anuales.

Resumen técnico 

Parece que cada semana Angler Exploit Kit está en las noticias, ya sea por el Domain Shadowing, la integración en cero días o haciendo campañas de publicidad maliciosa a gran escala, siempre dominando el panorama de las amenazas. Esta es una lucha constante entre atacantes y defensores. Estamos constantemente monitoreando y actualizando la cobertura ante amenazas. Con base en esta batalla constante, Talos decidió sumergirse profundamente en los datos de telemetría de Angler y ha hecho algunos descubrimientos sorprendentes.

Los datos fueron recopilados originalmente a partir de julio de 2015 e incluyeron información de todas las fuentes disponibles. Julio ofreció una oportunidad única porque Angler pasó por varias iteraciones de desarrollo, incluyendo cambios en la estructura de las URL y la aplicación de varias vulnerabilidades sin parches de Adobe Flash. Durante el análisis, surgieron tendencias y patrones. El trabajo abordó tendencias en uso de dominios, referers, exploits, payloads y hosting, siendo las asociadas a este último tema las que condujeron a los descubrimientos más significativos.

Al analizar los datos, se encontró una gran parte de la actividad de Angler centrada en un único proveedor de hosting, Limestone Networks. Talos colaboró ​​con Limestone para recopilar alguna información previamente desconocida sobre Angler. La colaboración incluía detalles relacionados con el flujo de datos, su gestión y escala.

Angler está en realidad construida sobre una configuración de proxy/ servidor. Solo hay un servidor exploit que se encarga de servir a la actividad maliciosa a través de múltiples servidores proxy. El servidor proxy es el sistema con el que los usuarios se comunican, lo que permite al adversario cambiar rápidamente al mismo tiempo que protege el servidor exploit de ser identificado y expuesto.

Adicionalmente, hay un servidor de vigilancia que está llevando a cabo controles, recopilando información sobre los hosts que están siendo explotados y que borra de forma remota los archivos de registro una vez que la información ha sido extraída. Este servidor de salud reveló el alcance y la escala de la campaña y nos ayudó a poder poner un valor monetario a la actividad.

Un solo servidor de salud se vio monitoreando 147 servidores proxy en el lapso de un mes, generando más de $3.000.000 de dólares en ingresos. Éste solo adversario fue responsable de aproximadamente la mitad de la actividad Angler observada, haciendo más de $30 millones de dólares al año solo en infecciones con ransomware.

La monetización de la economía de malware ha evolucionado en los últimos años. Cada año vemos pequeñas innovaciones que conducen hacia el gran avance ocasional. Hoy en día estamos viendo los resultados de años de grandes avances que se combina con una unidad de descarga de vectores para formar uno de los ataques más eficaces y rentables en internet.

Debido a la naturaleza dinámica de algunos de los contenidos usted puede encontrar el artículo completo en talosintel.com aquí