La minaccia, una delle più temibili scoperte fino ad oggi è stata neutralizzata

hacker

Angler ha fatto enormi danni. Si tratta di uno dei più grandi exploit kit reperibili sul mercato ed utilizzato per diverse campagne di malvertising/ransomware di alto profilo poiché progettato per bypassare i dispositivi di sicurezza e attaccare il maggior numero di device possibili. Questo perché una delle tecniche impiegate dai suoi autori è stato il “dominio shadowing”: i cybercriminali compromettono l’account dell’utente che registra un nome di dominio e in seguito registrano un sottodominio di quello legittimo dell’utente compromesso. Se l’utente non controlla le informazioni relative al suo account, non può sapere dell’esistenza del sottodominio. I sottodomini puntano a server dannosi e sono difficili da bloccare, in quanto sono molto numerosi, hanno vita breve e un comportamento casuale. Oltre al domain shadowing, l’exploit kit Angler utilizzava più indirizzi IP per rendere il rilevamento più difficile, cambiando più volte l’indirizzo IP durante la giornata con uno schema puramente casuale.

I ricercatori di Cisco Talos hanno rilevato che vi era un numero spropositato di server proxy utilizzati da Angler sui server del service provider Limestone Networks – tra cui il principale attore della minaccia, responsabile di almeno il 50% dell’attività dell’exploit kit Angler, in grado di colpire fino a 90.000 vittime giornaliere e di generare oltre 30 milioni di dollari l’anno. Un dato che, applicato all’intero ambito di attività Angler, lascia presagire ricavi attorno ai 60 milioni di dollari l’anno.

Di seguito un esempio con cui Angler compromette una cartella e installa ransomware:

Dopo aver raccolto ulteriori informazioni, grazie alla collaborazione con Level 3 Threat Research Labs, e a seguito della visibilità consentita da OpenDNS, Cisco poi è intervenuta attivamente:

  • Bloccando l’accesso da parte dei propri clienti, aggiornando i prodotti per fermare il reindirizzamento al server proxy Angler.
  • Rilasciando delle regole di Snort per rilevare e bloccare determinati controlli
  • Rendendo pubbliche tutte le regole attraverso Snort
  • Comunicando le regole e i dati scoperti, inclusi i protocolli in modo che terze parti potessero proteggere se stesse e i propri clienti.
  • Pubblicando indicatori di compromissione (IoC) in modo che i difensori potessero analizzare la propria attività di rete e bloccare l’accesso a ulteriori server colpiti dalla minaccia

Si è trattato di un colpo significativo per l’economia emergente degli hacker dove ransomware e la vendita al mercato nero di indirizzi IP, informazioni relative a carte di credito e dati riservati personali, stanno generando giri di affari di centinaia di milioni di dollari ogni anno.