The playground

More information here

A Queda do Pescador Kit Exploit

IntroduçãoAngler exploit kit the takedown os númerosconclusão sobre a “leitura sugerida” da ENISA Introdução Em outubro de 2015, Talos, Cisco Security Intelligence e Grupo de Pesquisa, publicou uma declaração sobre a forma como eles “atingiu um golpe” para um grupo de cibercriminosos por interromper o seu fluxo de receitas geradas através do notório Pescador Exploit […]

Introdução

Em outubro de 2015, Talos, Cisco Security Intelligence e Grupo de Pesquisa, publicou uma declaração sobre a forma como eles “atingiu um golpe” para um grupo de cibercriminosos por interromper o seu fluxo de receitas geradas através do notório Pescador Exploit Kit. De acordo com Talos, a captura foi direcionada a um ator de ameaça que foi responsável por quase metade de todas as atividades da Angler explorar Kit, e foi estimado para gerar mais de US $30 milhões anualmente, empurrando ransomware para vítimas inocentes.

The Angler exploit kit has been linked to several ransomware campaigns, including the widespread CryptoWall and TeslaCrypt, and is widely recognized as one of the most advanced exploit kits on the market. A importância desta captura não se deveu apenas à ruptura do fluxo de receitas dos criminosos cibernéticos, mas também à informação útil que Talos conseguiu reunir, analisar e divulgar em seu relatório detalhado. Como resultado desta operação, a comunidade teve uma rara oportunidade de ter um olhar interno sobre a infra-estrutura que conduz este tipo de campanhas. Esta informação é importante para analistas de segurança e engenheiros que desejam proteger seus sistemas de tais ataques.

Angler exploit kit

The takedown was managed by Cisco Systems ‘ Talos security unit, which was researching the Angler Exploit kit. A Angler é um dos kits de exploração mais sofisticados disponíveis no mercado de malware subterrâneo altamente competitivo. Ele possui a capacidade de infectar com sucesso uma estimativa de 40% dos usuários finais, explorando vulnerabilidades em navegadores e plugins de navegador. Em alguns casos, o kit explorou vulnerabilidades de zero dias. Talos apresentou um vídeo informativo que explica A infraestrutura De Angler, e demonstra o uso de angler para comprometer uma máquina e instalar ransomware.

Angler é conhecido por reunir informação do utilizador e personalizar ataques com base nas versões de software que estão a ser utilizadas. A maioria das campanhas tinha como alvo os usuários que executavam versões antigas e inéditas do Adobe Flash e Internet Explorer. Na verdade, quase 75% das façanhas servidas através de Angler eram relacionadas com Adobe Flash.Talos mencionou que Angler também estava sendo usado para distribuir diferentes tipos de ataques. Eles identificaram uma ferramenta conhecida como “Bedep downloader”, que é malware que fornece cargas adicionais, bem como malware usado em fraudes de click e algumas instâncias de keyloggers.

the takedown

The Angler infrastructure uses a proxy-server configuration. A atividade maliciosa é servida a partir de um único servidor exploit através de vários servidores proxy. As vítimas se comunicam com os servidores proxy, e não diretamente com o servidor exploit, com a capacidade de encaminhar as comunicações através de diferentes proxies. Esta abordagem complica as investigações, protegendo assim as infra-estruturas. Há também um servidor de monitoramento de saúde que realiza verificações de saúde, e reúne informações sobre as máquinas-alvo.

Pescador de fluxo de dados

Fonte: https://blog.opendns.com/

Durante sua investigação, Talos viu que uma grande percentagem dos infectados usuários finais foram se conectando a servidores que foram operadas pelo prestador de serviços de Calcário Redes, , que concordou em cooperar com os Talos, a fim de derrubar a infra-estrutura. Através de sua investigação, eles encontraram um único “ator de ameaça” que tinha como alvo até 90k usuários finais por dia. Eles identificaram um único servidor de saúde que estava monitorando 147 servidores proxy ao longo do período de um mês.

Talos sinkholed (redirecionou o domínio para um IP controlado) os domínios identificados e desligar os servidores proxy. Com a colaboração de redes de calcário, obtiveram imagens em disco vivo dos servidores relevantes, o que lhes permitiu compreender melhor a infra-estrutura subjacente.durante toda a operação, a colaboração desempenhou um papel essencial. Sem a cooperação das redes de calcário, Talos teria tido uma visibilidade muito limitada e acesso à infra-estrutura. Visibilidade adicional na atividade global da rede foi fornecida graças à sua colaboração com laboratórios de pesquisa de ameaças de Nível 3. Além disso, a colaboração com o OpenDNS forneceu Talos com visibilidade em profundidade na atividade de domínio associada aos ataques. OpenDNS também escreveu uma entrada interessante no blog sobre a captura.

os números

o servidor de saúde foi crítico na compreensão da escala da campanha, e permitiu que Talos colocasse um valor monetário realista na operação. Esta única operação foi responsável por aproximadamente metade da atividade de pescador e foi estimada para gerar US $30 milhões anualmente a partir de infecções ransomware sozinho, o que implicaria que o escopo total da atividade de Pescador poderia facilmente gerar mais de US $60 milhões anualmente.

15.000 sites únicos empurraram o kit de exploração para visitantes insuspeitos com mais de 60 por cento das infecções que entregam qualquer um CryptoWall 3.0 ou TeslaCrypt 2.0 ransomware. Curiosamente, Talos notou que várias páginas de obituário foram alvo. Eles acreditam que isso foi feito como um meio para atingir os idosos, que são mais propensos a usar software não compatível e usar IE que é o navegador Windows OS padrão. Além disso, os idosos são conhecidos por serem suscetíveis ao ransomware. De acordo com um estudo realizado pelo Stanford Center on Longevity e a FINRA Investor Education Foundation, nos EUA, as pessoas com idade igual ou superior a 65 anos têm 34% mais probabilidade de ter perdido dinheiro em um esquema financeiro do que as pessoas em seus 40 anos.

A $30 milhões de receita anual estimativa foi obtida usando os seguintes fatos, estimativas e cálculos:

  • Em 1 dia, o Pescador de servidor servido explora 9000 endereços IP
  • 40% de utilizadores a ser servido explorações Pescador estão comprometidos
  • Portanto, em 1 dia de Pescador, o comprometimento de servidores 3600
  • Saúde do servidor foi monitorização 147 Pescador de servidores de mais de 1 mês
  • Isso resulta em cerca de 529.000 sistemas infectado mais de 1 mês
  • 62% do Pescador infecções entregue Ransomware
  • 2.9% das vítimas pagou o resgate (de acordo com o US-CERT, citando um estudo da Symantec)
  • Média de pedido de resgate de us $300
  • Isso resulta em us $3 Milhões por mês
  • >$30 MILHÕES anualmente

Os números acima são estimativas, no entanto, eles são baseados em dados realistas.

conclusão

a interrupção da operação responsável por metade da atividade de Angler kit é uma boa notícia, e todos os atores nesta operação merecem elogios. Este caso demonstrou que a cooperação entre diferentes actores com interesses semelhantes pode ir muito longe. A combinação certa de fatores como conhecimento, recursos, jurisdição e posição estratégica pode ser extremamente benéfica e mais impactante do que uma entidade independente operando por conta própria.

sobre a “leitura sugerida” da ENISA

com a série “leitura sugerida” a ENISA visa dar ao leitor interessado orientações sobre discussões controversas e inescrutáveis relacionadas com os NIS que são realizadas na mídia, sugerindo artigos pré-revisados selecionados que, em nossa opinião, explicam a questão em mãos e as circunstâncias relacionadas de uma forma razoável e compreensível. Esta visão é derivada de experiências passadas e senso comum; de forma alguma deve “leitura sugerida” ser entendida como o curso de ação recomendado em um incidente ou investigação específica, ou ser uma conclusão final. Sinta-se à vontade para entrar em contato com a ENISA para discutir ou consultar mais informações para a série de “leitura sugerida” ([email protected]).

Deixe uma resposta

O seu endereço de email não será publicado.