The playground

More information here

Le Retrait du Kit d’Exploit de Pêcheur à la Ligne

IntroductionKit d’exploit de pêcheur à la ligneLe retraitLes chiffresConclusionÀ propos de la « Lecture suggérée » de l’ENISA Introduction En octobre 2015, Talos, le Groupe de recherche et de renseignement sur la sécurité de Cisco, a publié une déclaration sur la façon dont ils ont « porté un coup » à un groupe de cybercriminels en perturbant leur flux […]

Introduction

En octobre 2015, Talos, le Groupe de recherche et de renseignement sur la sécurité de Cisco, a publié une déclaration sur la façon dont ils ont « porté un coup » à un groupe de cybercriminels en perturbant leur flux de revenus généré par le célèbre Kit d’exploit de pêcheur à la ligne. Selon Talos, le retrait visait un acteur de la menace responsable de près de la moitié de toutes les activités de Kit d’exploitation de la pêche à la ligne, et était estimé à générer plus de 30 millions de dollars par an en poussant un ransomware sur des victimes sans méfiance.

Le kit d’exploit de pêcheur à la ligne a été lié à plusieurs campagnes de ransomware, y compris les très répandus CryptoWall et TeslaCrypt, et est largement reconnu comme l’un des kits d’exploit les plus avancés sur le marché. L’importance de ce retrait n’était pas seulement due à la perturbation des flux de revenus des cybercriminels, mais aussi à des informations utiles que Talos a pu collecter, analyser et diffuser dans leur rapport détaillé. À la suite de cette opération, la communauté a eu une occasion rare d’avoir un aperçu de l’infrastructure qui gère ce genre de campagnes. Ces informations sont importantes pour les analystes et ingénieurs en sécurité qui souhaitent protéger leurs systèmes contre de telles attaques.

Kit d’exploit de pêcheur à la ligne

Le retrait a été géré par l’unité de sécurité Talos de Cisco Systems, qui recherchait le kit d’exploit de pêcheur à la ligne. Angler est l’un des kits d’exploit les plus sophistiqués disponibles sur le marché très concurrentiel des logiciels malveillants souterrains. Il possède la capacité d’infecter avec succès environ 40% des utilisateurs finaux ciblés en exploitant les vulnérabilités des navigateurs et des plugins de navigateur. Dans certains cas, le kit exploitait des vulnérabilités zero-day. Talos a présenté une vidéo informative qui explique l’infrastructure de Angler et montre l’utilisation de angler pour compromettre une machine et installer un ransomware.

Angler est connu pour collecter des informations sur les utilisateurs et personnaliser les attaques en fonction des versions logicielles utilisées. La plupart des campagnes ciblaient les utilisateurs exécutant des versions anciennes et non corrigées d’Adobe Flash et d’Internet Explorer. En fait, près de 75% des exploits servis par Angler étaient liés à Adobe Flash.

Talos a mentionné que le pêcheur à la ligne était également utilisé pour distribuer différents types d’attaques. Ils ont identifié un outil connu sous le nom de Bedep downloader, qui est un logiciel malveillant qui fournit des charges utiles supplémentaires, ainsi que des logiciels malveillants utilisés dans les escroqueries par clic et dans quelques cas d’enregistreurs de frappe.

Le retrait

L’infrastructure Angler utilise une configuration de serveur proxy. L’activité malveillante est servie à partir d’un seul serveur d’exploitation via plusieurs serveurs proxy. Les victimes communiquent avec les serveurs proxy, et non directement avec le serveur d’exploitation, avec la possibilité d’acheminer les communications via différents proxy. Cette approche complique les enquêtes, protégeant ainsi l’infrastructure. Il existe également un serveur de surveillance de l’état qui effectue des vérifications de l’état et recueille des informations sur les machines cibles.

Flux de données de pêcheur à la ligne

Source: https://blog.opendns.com/

Au cours de leur enquête, Talos a constaté qu’un grand pourcentage de personnes infectées finissaient par les utilisateurs se connectaient à des serveurs exploités par le fournisseur de services Limestone Networks, qui a accepté de coopérer avec Talos afin de démonter l’infrastructure. Grâce à leur enquête, ils ont trouvé un seul « acteur de la menace » qui ciblait jusqu’à 90 000 utilisateurs finaux par jour. Ils ont identifié un seul serveur de santé qui surveillait 147 serveurs proxy sur une période d’un mois.

Talos a affaissé (redirigé le domaine vers une adresse IP contrôlée) les domaines identifiés et a arrêté les serveurs proxy. Avec la collaboration de Limestone Networks, ils ont obtenu des images disque en direct des serveurs concernés qui leur ont permis de mieux comprendre l’infrastructure sous-jacente.

Tout au long de l’opération, la collaboration a joué un rôle essentiel. Sans la coopération des réseaux calcaires, Talos aurait eu une visibilité et un accès très limités à l’infrastructure. Une visibilité supplémentaire sur l’activité mondiale du réseau a été fournie grâce à leur collaboration avec les laboratoires de recherche sur les menaces de niveau 3. De plus, la collaboration avec OpenDNS a fourni à Talos une visibilité approfondie sur l’activité du domaine associée aux attaques. OpenDNS a également écrit une entrée de blog intéressante sur le retrait.

Les chiffres

Le serveur de santé a été essentiel dans la compréhension de l’ampleur de la campagne et a permis à Talos de donner une valeur monétaire réaliste à l’opération. Cette seule opération était responsable d’environ la moitié de l’activité des pêcheurs à la ligne et a été estimée à générer 30 millions de dollars par an à partir des seules infections par ransomware, ce qui impliquerait que l’ensemble de l’activité des pêcheurs à la ligne pourrait facilement générer plus de 60 millions de dollars par an.

15.000 sites uniques ont poussé le kit d’exploit à des visiteurs sans méfiance avec plus de 60% des infections délivrant CryptoWall 3.0 ou TeslaCrypt 2.0 ransomware. Fait intéressant, Talos a remarqué que plusieurs pages Web nécrologiques étaient ciblées. Ils pensent que cela a été fait pour cibler les personnes âgées, qui sont plus susceptibles d’utiliser un logiciel non corrigé et d’utiliser IE qui est le navigateur Windows OS par défaut. En outre, les personnes âgées sont connues pour être sensibles aux ransomwares. Selon une étude menée par le Stanford Center on Longevity et la FINRA Investor Education Foundation, aux États-Unis, les personnes âgées de 65 ans et plus sont 34% plus susceptibles d’avoir perdu de l’argent lors d’une escroquerie financière que les personnes âgées de 40 ans.

L’estimation des revenus annuels de 30 millions de dollars a été obtenue en utilisant les faits, estimations et calculs suivants:

  • En 1 jour, Angler server a servi des exploits à 9000 adresses IP uniques
  • 40% des utilisateurs servis par Angler sont compromis
  • Par conséquent, en 1 jour, Angler server compromet 3600
  • Le serveur de santé surveillait 147 serveurs de pêcheurs sur 1 mois
  • Cela se traduit par environ 529.000 systèmes infectés sur 1 mois
  • 62% des infections de pêcheurs à la ligne ont livré un ransomware
  • 2.9% des victimes ont payé la rançon (selon US-CERT citant une étude Symantec)
  • Demande de rançon moyenne de 300 $
  • Cela se traduit par 3 millions de dollars par mois
  • >30 millions de dollars par an

Les chiffres ci-dessus sont des estimations, mais ils sont basés sur des données réalistes.

Conclusion

La perturbation de l’opération responsable de la moitié de l’activité de Angler kit est une bonne nouvelle, et tous les acteurs de cette opération méritent des éloges. Cette affaire a démontré que la coopération entre différents acteurs ayant des intérêts similaires peut aller très loin. La bonne combinaison de facteurs tels que les connaissances, les ressources, la juridiction et la position stratégique peut être extrêmement bénéfique et avoir plus d’impact qu’une entité indépendante opérant seule.

À propos de la « Lecture suggérée » de l’ENISA

Avec la série « Lecture suggérée », l’ENISA vise à donner aux lecteurs intéressés des conseils sur les discussions controversées et impénétrables liées aux NEI qui sont menées dans les médias, en suggérant des articles sélectionnés qui, à notre avis, expliquent le problème en question et les circonstances connexes d’une manière raisonnable et compréhensible. Ce point de vue découle des expériences passées et du bon sens; la « lecture suggérée » ne doit en aucun cas être comprise comme une ligne de conduite recommandée dans un incident ou une enquête spécifique, ou comme une conclusion finale. N’hésitez pas à prendre contact avec l’ENISA pour discuter ou demander plus d’informations à la série « Lectures suggérées » ([email protected] ).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.