The playground

More information here

The Takedown of the Angler Exploit Kit

Introduzione Kit di exploit di Angler Il takedown I numeri Conclusione Informazioni sulla “Lettura suggerita” da ENISA Introduzione Nell’ottobre 2015 Talos, Security Intelligence e Research Group di Cisco, ha rilasciato una dichiarazione su come hanno “colpito un colpo” a un gruppo di criminali informatici interrompendo il loro flusso di entrate generato attraverso il famigerato Angler […]

Introduzione

Nell’ottobre 2015 Talos, Security Intelligence e Research Group di Cisco, ha rilasciato una dichiarazione su come hanno “colpito un colpo” a un gruppo di criminali informatici interrompendo il loro flusso di entrate generato attraverso il famigerato Angler Exploit Kit. Secondo Talos, il takedown è stato mirato a un attore minaccia che era responsabile di quasi la metà di tutte le attività di Kit pescatore Exploit, ed è stato stimato per generare più di $30M ogni anno spingendo ransomware su vittime ignare.

Il kit di exploit Angler è stato collegato a diverse campagne ransomware, tra cui il diffuso CryptoWall e TeslaCrypt, ed è ampiamente riconosciuto come uno dei kit di exploit più avanzati sul mercato. L’importanza di questo takedown non era solo dovuta all’interruzione del flusso di entrate dei criminali informatici, ma anche a causa di informazioni utili che Talos era in grado di raccogliere, analizzare e diffondere nel loro rapporto dettagliato. Come risultato di questa operazione, la comunità ha avuto una rara opportunità di avere uno sguardo all’interno dell’infrastruttura che gestisce questo tipo di campagne. Queste informazioni sono importanti per gli analisti e gli ingegneri della sicurezza che desiderano proteggere i propri sistemi da tali attacchi.

Kit di exploit di Angler

Il takedown è stato gestito dall’unità di sicurezza Talos di Cisco Systems, che stava ricercando il kit di exploit di Angler. Angler è uno dei più sofisticati exploit kit disponibili nel mercato del malware sotterraneo altamente competitivo. Vanta la capacità di infettare con successo circa il 40% degli utenti finali mirati sfruttando le vulnerabilità nei browser e nei plugin del browser. In alcuni casi il kit sfruttava vulnerabilità zero-day. Talos ha presentato un video informativo che spiega l’infrastruttura di Angler, e dimostra l’uso di angler di compromettere una macchina e installare ransomware.

Angler è noto per raccogliere informazioni sugli utenti e personalizzare gli attacchi in base alle versioni del software utilizzate. La maggior parte delle campagne riguardava gli utenti che eseguivano versioni vecchie e senza patch di Adobe Flash e Internet Explorer. Infatti, quasi 75% degli exploit serviti attraverso Angler erano Adobe Flash correlati.

Talos ha detto che Angler è stato utilizzato anche per distribuire diversi tipi di attacchi. Hanno identificato uno strumento noto come Bedep downloader, che è il malware che fornisce carichi utili aggiuntivi, così come il malware utilizzato in truffe click fraud e alcuni casi di keylogger.

Il takedown

L’infrastruttura Angler utilizza una configurazione server proxy. L’attività dannosa viene servita da un singolo server di exploit attraverso più server proxy. Le vittime comunicano con i server proxy, e non direttamente con il server exploit, con la possibilità di instradare le comunicazioni attraverso diversi proxy. Questo approccio complica le indagini proteggendo così l’infrastruttura. C’è anche un server di monitoraggio dello stato che esegue controlli dello stato e raccoglie informazioni sulle macchine di destinazione.

Pescatore flusso di dati

Fonte: https://blog.opendns.com/

Durante la loro indagine, Talos, vide che una grande percentuale di infetti gli utenti finali sono stati connessione ai server che sono stati operati dal fornitore di servizi di Calcare Reti, che ha accettato di collaborare con Lui per abbattere le infrastrutture. Attraverso la loro indagine, hanno trovato un singolo “attore di minacce” che prendeva di mira fino a 90k utenti finali al giorno. Hanno identificato un singolo server sanitario che stava monitorando 147 server proxy nell’arco di un mese.

Talos ha affondato (reindirizzato il dominio a un IP controllato) i domini identificati e ha spento i server proxy. Con la collaborazione di Limestone Networks, hanno ottenuto immagini disco live dei server pertinenti che hanno permesso loro di comprendere meglio l’infrastruttura sottostante.

Nel corso dell’operazione, la collaborazione ha svolto un ruolo essenziale. Senza la collaborazione di Calcare networks, Talos avrebbe avuto visibilità molto limitata e accesso all’infrastruttura. Ulteriore visibilità sull’attività globale della rete è stata fornita grazie alla collaborazione con i laboratori di ricerca sulle minacce di livello 3. Inoltre, la collaborazione con OpenDNS ha fornito a Talos una visibilità approfondita dell’attività del dominio associata agli attacchi. OpenDNS ha anche scritto un interessante blog sul takedown.

I numeri

Il server di salute è stato fondamentale nella comprensione della scala della campagna, e ha permesso Talos per mettere un valore monetario realistico sul funzionamento. Questa singola operazione è stata responsabile di circa la metà dell’attività pescatore ed è stato stimato per generare annually 30M ogni anno da infezioni ransomware da solo, il che implicherebbe che l’intero ambito di attività pescatore potrebbe facilmente generato più di $60M ogni anno.

15.000 siti unici spinto il kit di exploit ai visitatori ignari con più del 60 per cento delle infezioni consegnando sia CryptoWall 3.0 o TeslaCrypt 2.0 ransomware. È interessante notare che Talos ha notato che diverse pagine Web necrologio sono stati presi di mira. Essi credono che questo è stato fatto come un mezzo per indirizzare gli anziani, che sono più propensi a utilizzare il software senza patch e utilizzare IE che è il browser predefinito del sistema operativo Windows. Inoltre, gli anziani sono noti per essere suscettibili di ransomware. Secondo uno studio condotto dallo Stanford Center on Longevity e dalla FINRA Investor Education Foundation, negli Stati Uniti, le persone di età pari o superiore a 65 anni hanno il 34% in più di probabilità di aver perso denaro in una truffa finanziaria rispetto alle persone sui 40 anni.

I $30 MILIONI di fatturato annuo la stima è stata ottenuta utilizzando i seguenti fatti, stime e calcoli:

  • In 1 giorno, Pescatore server servita exploit a 9000 indirizzi IP univoci
  • 40% di utenti serviti exploit da Pescatore sono compromessi
  • Quindi in 1 giorno Pescatore server compromessi 3600
  • Salute server di monitoraggio 147 Pescatore server più di 1 mese
  • Questo si traduce in circa 529.000 sistemi infettato più di 1 mese
  • 62% del Pescatore infezioni consegnato Ransomware
  • 2.il 9% delle vittime ha pagato il riscatto (secondo US-CERT citando uno studio Symantec)
  • Richiesta media di riscatto di $300
  • Questo si traduce in $3 milioni al mese
  • annually 30M all’anno

I numeri sopra riportati sono stime, tuttavia si basano su dati realistici.

Conclusione

L’interruzione dell’operazione responsabile della metà dell’attività di Angler kit è una buona notizia e tutti gli attori di questa operazione meritano elogi. Questo caso ha dimostrato che la cooperazione tra diversi attori con interessi simili può andare molto lontano. Il giusto mix di fattori come conoscenza, risorse, giurisdizione e posizione strategica può essere estremamente vantaggioso e più impattante di un’entità indipendente che opera da sola.

Informazioni sulla “Lettura suggerita” da ENISA

Con la serie “Lettura suggerita” ENISA mira a fornire al lettore interessato una guida sulle discussioni controverse e imperscrutabili relative alle NIS che vengono svolte nei media, suggerendo articoli selezionati pre-recensiti che a nostro avviso spiegano il problema in questione e le circostanze correlate in modo ragionevole e comprensibile. Questa visione deriva dalle esperienze passate e dal buon senso; in nessun modo la “Lettura suggerita” dovrebbe essere intesa come una linea d’azione raccomandata in uno specifico incidente o indagine, o essere una conclusione finale. Sentitevi liberi di entrare in contatto con ENISA per discutere o chiedere ulteriori informazioni per la serie “Lettura consigliata” ([email protected]).

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.