Cisco Talos Security Intelligence and Research Group detectó y neutralizó al Angler Exploit Kit, una herramienta conocida por realizar actividades de ransomware –secuestro de dispositivos– a nivel internacional, y con la cual sus creadores habían obtenido hasta ahora “ganancias” por 60 millones de dólares anuales.
El grupo de investigación encargado de desarrollar inteligencia contra amenazas para las soluciones de la compañía con el fin de proteger a los clientes tanto de las amenazas conocidas como las que vayan surgiendo, interrumpió de manera significativa una fuente internacional de ingresos -60 millones de dólares por año- generada por el reconocido Angler Exploit Kit, uno de los más grandes exploit kits en el mercado, famoso por relacionarse con campañas de publicidad maliciosa/ransomware de alto perfil.
De acuerdo a un post escrito por Nick Biasini con contribuciones de Joel Esler, Nick Hebert, Warren Mercer, Matt Olney, Melissa Taylor y Craig Williams, hasta ahora Angler ha sido el más avanzado y preocupante exploit kit en el mercado, pues fue diseñado para eludir dispositivos de seguridad y atacar a la mayor cantidad de equipos posibles como objetivo final.
Al menos la mitad de los dispositivos comprometidos en los ataques se conectaron a servidores del proveedor Limestone Networks desde Dallas, Texas. De hecho, se descubrió que estos servidores habían sido contratados por los cibercriminales a través de tarjetas de crédito robadas.
Cisco determinó que un excesivo número de servidores proxy utilizados por Angler estaban ubicados en los servidores del proveedor de servicios Limestone Networks con la principal amenaza responsable de hasta el 50% de la actividad del Angler Exploit Kit, que iba dirigido a 90 mil víctimas por día, y con lo cual generaba más de $30 millones de dólares al año.
Esto implica, que si se aplica toda la actividad de Angler, los ingresos generados podrían superar los $60 millones anuales.
La acción se logró gracias a la colaboración de Talos con el Nivel 3 de Threat Research Labs y OpenDNS, pues ello los hizo capaces de ver a profundidad la actividad del dominio asociado a los competidores.
Cabe mencionar que este es un golpe significativo a la economía emergente de hackers donde el ransomware y la venta en el mercado negro de IPs, información de tarjetas de crédito e información de identificación personal (PII) robadas generan cientos de millones de dólares anuales.
RESUMEN TÉCNICO
Parece que cada semana Angler Exploit Kit está en las noticias, ya sea por el Domain Shadowing, la integración en cero días o haciendo campañas de publicidad maliciosa a gran escala, siempre dominando el panorama de las amenazas. Esta es una lucha constante entre atacantes y defensores. Estamos constantemente monitoreando y actualizando la cobertura ante amenazas. Con base en esta batalla constante, Talos decidió sumergirse profundamente en los datos de telemetría de Angler y ha hecho algunos descubrimientos sorprendentes.
Los datos fueron recopilados originalmente a partir de julio de 2015 e incluyeron información de todas las fuentes disponibles. Julio ofreció una oportunidad única porque Angler pasó por varias iteraciones de desarrollo, incluyendo cambios en la estructura de las URL y la aplicación de varias vulnerabilidades sin parches de Adobe Flash. Durante el análisis, surgieron tendencias y patrones. El trabajo abordó tendencias en uso de dominios, referers, exploits, payloads y hosting, siendo las asociadas a este último tema las que condujeron a los descubrimientos más significativos.
Al analizar los datos, se encontró una gran parte de la actividad de Angler centrada en un único proveedor de hosting, Limestone Networks. Talos colaboró con Limestone para recopilar alguna información previamente desconocida sobre Angler. La colaboración incluía detalles relacionados con el flujo de datos, su gestión y escala.
Angler está en realidad construida sobre una configuración de proxy/ servidor. Solo hay un servidor exploit que se encarga de servir a la actividad maliciosa a través de múltiples servidores proxy. El servidor proxy es el sistema con el que los usuarios se comunican, lo que permite al adversario cambiar rápidamente al mismo tiempo que protege el servidor exploit de ser identificado y expuesto.
Adicionalmente, hay un servidor de vigilancia que está llevando a cabo controles, recopilando información sobre los hosts que están siendo explotados y que borra de forma remota los archivos de registro una vez que la información ha sido extraída. Este servidor de salud reveló el alcance y la escala de la campaña y nos ayudó a poder poner un valor monetario a la actividad.
Un solo servidor de salud se vio monitoreando 147 servidores proxy en el lapso de un mes, generando más de tres millones de dólares en ingresos. Éste solo adversario fue responsable de aproximadamente la mitad de la actividad Angler observada, haciendo más de $30 millones de dólares al año solo en infecciones con ransomware.
La monetización de la economía de malware ha evolucionado en los últimos años. Cada año vemos pequeñas innovaciones que conducen hacia el gran avance ocasional. Hoy en día estamos viendo los resultados de años de grandes avances que se combina con una unidad de descarga de vectores para formar uno de los ataques más eficaces y rentables en internet.
Compartir nota:
