The playground

More information here

La eliminación del Kit de Exploits para Pescadores

Introducción Kit de exploits para pescadores La eliminación Los números Conclusión Acerca de la» Lectura sugerida «de ENISA Introducción En octubre de 2015, Talos, el Grupo de Investigación e Inteligencia de Seguridad de Cisco, publicó una declaración sobre cómo «golpearon» a un grupo de ciberdelincuentes al interrumpir su flujo de ingresos generado a través del […]

Introducción

En octubre de 2015, Talos, el Grupo de Investigación e Inteligencia de Seguridad de Cisco, publicó una declaración sobre cómo «golpearon» a un grupo de ciberdelincuentes al interrumpir su flujo de ingresos generado a través del famoso Kit de Exploits para Pescadores. Según Talos, el derribo estaba dirigido a un actor de amenaza que era responsable de casi la mitad de todas las actividades de Angler Exploit Kit, y se estimó que generaría más de 3 30 millones al año al empujar el ransomware a víctimas desprevenidas.

El kit de exploits para pescadores se ha vinculado a varias campañas de ransomware, incluidas las extendidas CryptoWall y TeslaCrypt, y es ampliamente reconocido como uno de los kits de exploits más avanzados del mercado. La importancia de este desmantelamiento no solo se debió a la interrupción del flujo de ingresos de los ciberdelincuentes, sino también a la información útil que Talos pudo recopilar, analizar y difundir en su informe detallado. Como resultado de esta operación, la comunidad tuvo la rara oportunidad de echar un vistazo a la infraestructura que ejecuta este tipo de campañas. Esta información es importante para los analistas de seguridad e ingenieros que desean proteger sus sistemas de tales ataques.

Kit de exploits para pescadores

El derribo fue gestionado por la unidad de seguridad Talos de Cisco Systems, que estaba investigando el kit de Exploits para pescadores. Angler es uno de los kits de exploits más sofisticados disponibles en el mercado de malware subterráneo altamente competitivo. Cuenta con la capacidad de infectar con éxito a un estimado del 40% de los usuarios finales objetivo mediante la explotación de vulnerabilidades en los navegadores y complementos del navegador. En algunos casos, el kit explotaba vulnerabilidades de día cero. Talos presentó un video informativo que explica la infraestructura del pescador y demuestra el uso del pescador para comprometer una máquina e instalar ransomware.

Angler es conocido por recopilar información del usuario y personalizar los ataques en función de las versiones de software que se utilizan. La mayoría de las campañas se dirigieron a usuarios que ejecutaban versiones antiguas y sin parches de Adobe Flash e Internet Explorer. De hecho, casi el 75% de los exploits servidos a través de Angler estaban relacionados con Adobe Flash.

Talos mencionó que el pescador también se estaba utilizando para distribuir diferentes tipos de ataques. Identificaron una herramienta conocida como Bedep downloader, que es malware que ofrece cargas útiles adicionales, así como malware utilizado en estafas de fraude de clics y algunas instancias de keyloggers.

La eliminación

La infraestructura de Angler utiliza una configuración de servidor proxy. La actividad maliciosa se sirve desde un único servidor de exploits a través de varios servidores proxy. Las víctimas se comunican con los servidores proxy, y no directamente con el servidor de exploits, con la capacidad de enrutar las comunicaciones a través de diferentes proxies. Este enfoque complica las investigaciones, protegiendo así la infraestructura. También hay un servidor de monitoreo de estado que realiza comprobaciones de estado y recopila información sobre las máquinas de destino.

Flujo de datos del pescador

Fuente: https://blog.opendns.com/

Durante su investigación, Talos vio que un gran porcentaje de los usuarios se conectaban a servidores operados por el proveedor de servicios Limestone Networks, que accedió a cooperar con Talos para desmantelar la infraestructura. A través de su investigación, encontraron un solo «agente de amenaza» que se dirigía a 90 mil usuarios finales por día. Identificaron un único servidor de salud que supervisaba 147 servidores proxy en el lapso de un mes.

Talos hundió (redirigió el dominio a una IP controlada) los dominios identificados y apagó los servidores proxy. Con la colaboración de Limestone Networks, obtuvieron imágenes de disco en vivo de los servidores relevantes que les permitieron comprender mejor la infraestructura subyacente.

Durante toda la operación, la colaboración desempeñó un papel esencial. Sin la cooperación de las redes de piedra caliza, Talos habría tenido una visibilidad y un acceso muy limitados a la infraestructura. Se proporcionó visibilidad adicional de la actividad global de la red gracias a su colaboración con Laboratorios de Investigación de Amenazas de Nivel 3. Además, la colaboración con OpenDNS proporcionó a Talos una visibilidad en profundidad de la actividad de dominio asociada con los ataques. OpenDNS también escribió una entrada de blog interesante sobre el derribo.

Los números

El servidor de salud fue fundamental para comprender la escala de la campaña y permitió a Talos asignar un valor monetario realista a la operación. Esta única operación fue responsable de aproximadamente la mitad de la actividad de los pescadores y se calculó que generaba 30 millones de dólares al año solo a partir de infecciones de ransomware, lo que implicaría que el alcance total de la actividad de los pescadores podría generar fácilmente más de 60 millones de dólares al año.

15.000 sitios únicos empujaron el kit de exploits a visitantes desprevenidos con más del 60 por ciento de las infecciones entregando CryptoWall 3.ransomware 0 o TeslaCrypt 2.0. Curiosamente, Talos notó que varias páginas web de obituarios fueron atacadas. Creen que esto se hizo como un medio para dirigirse a los ancianos, que son más propensos a usar software sin parches y usar IE, que es el navegador predeterminado del sistema operativo Windows. Además, se sabe que las personas mayores son susceptibles al ransomware. Según un estudio realizado por el Stanford Center on Longevity y la FINRA Investor Education Foundation, en los Estados Unidos, las personas de 65 años o más tienen un 34% más de probabilidades de haber perdido dinero en una estafa financiera que las personas de 40 años.

La estimación de ingresos anuales de 3 30 MILLONES se obtuvo utilizando los siguientes datos, estimaciones y cálculos:

  • En 1 día, Angler server sirvió exploits a 9000 direcciones IP únicas
  • El 40% de los usuarios que recibieron exploits de Angler están comprometidos
  • Por lo tanto, en 1 día, el servidor de salud de Angler compromete 3600
  • el servidor de salud estaba monitoreando 147 servidores de Angler durante 1 mes
  • 529.000 sistemas infectados durante 1 mes
  • El 62% de las infecciones de pescadores entregaron Ransomware
  • 2.El 9% de las víctimas pagó el rescate (de acuerdo con US-CERT citando un estudio de Symantec)
  • Demanda promedio de rescate de 3 300
  • Esto da como resultado 3 3 millones al mes
  • >annually 30 millones anuales

Los números anteriores son estimaciones, sin embargo, se basan en datos realistas.

Conclusión

La interrupción de la operación responsable de la mitad de la actividad de Angler kit es una buena noticia, y todos los actores en esta operación merecen elogios. Este caso demostró que la cooperación entre diferentes actores con intereses similares puede ser muy útil. La combinación correcta de factores, como el conocimiento, los recursos, la jurisdicción y la posición estratégica, puede ser extremadamente beneficiosa y tener más impacto que una entidad independiente que opera por su cuenta.

Acerca de la» Lectura sugerida «de ENISA

Con la serie de» Lectura Sugerida » ENISA tiene como objetivo proporcionar al lector interesado orientación sobre discusiones controvertidas e inescrutables relacionadas con la NIS que se llevan a cabo en los medios, sugiriendo artículos seleccionados previamente revisados que, en nuestra opinión, explican el tema en cuestión y las circunstancias relacionadas de una manera razonable y comprensible. Este punto de vista se deriva de experiencias pasadas y del sentido común; de ninguna manera se debe entender la «Lectura sugerida» como el curso de acción recomendado en un incidente o investigación específicos, o como una conclusión final. No dude en ponerse en contacto con ENISA para discutir o preguntar más información sobre la serie de «Lecturas sugeridas» ([email protected]).

Deja una respuesta

Tu dirección de correo electrónico no será publicada.