Злоумышленники склонны часто менять векторы атаки, наглядный пример тому — постоянная миграция с одного эксплойт-пака на другой. При этом предпочтения обычно отдаются хорошо зарекомендовавшим себя инструментам, хотя предложений в сетевом андеграунде хоть отбавляй.

Недавно исследователи, фиксирующие активность эксплойт-паков, обнаружили, что два лидера рынка, Angler и Nuclear, перестали подавать признаки жизни. Оба они ответственны за ущерб, измеряемый десятками миллионов долларов, и за бесчисленные заражения различными зловредами, от тривиальных кликеров до вымогателей-шифровальщиков. Не исключено, что причиной ухода из доступа Angler послужили российские аресты по делу о хищении 2 млрд рублей с помощью Lurk. Спаду активности Nuclear могло способствовать появление статьи Check Point Software Technologies с результатами анализа инфраструктуры этого эксплойт-пака.

Французский исследователь Kafeine тоже заметил, что с конца апреля Nuclear никак не проявляет себя, а Angler затих с 7 июня.

ИБ-компания Proofpoint, в свою очередь, опубликовала отчет по результатам мониторинга активности эксплойт-паков (EK) за последние три месяца. Согласно этим наблюдениям, к началу мая авторы крупнейших кампаний, использующие вредоносную рекламу (malvertising), и распространители блокера CryptXXX переключились с Angler на Neutrino.

«По нашим оценкам, Neutrino, используемый для загрузки CryptXXX, ответственен за 75% наблюдаемого трафика эксплойт-паков; еще 10% совместно генерируют Neutrino и Magnitude, когда участвуют в доставке вымогателя Cerber, — пишут исследователи. — Большая часть остальных 15% EK-трафика приходится на долю RIG, который грузит различных зловредов (банковских троянцев, похитителей информации, даунлоудеров) в ходе небольших malvertising-кампаний. Остальной EK-трафик, примерно 1%, формируют менее амбициозные эксплойт-паки: Sundown, Kaixin, Hunter и прочие».

Аналитическая статья Check Point, опубликованная в апреле, разделена на две части. В ней рассмотрена не только инфраструктура Nuclear, но также схема управления, устройство панели администрирования, роль головного сервера, схема заражения и внутренняя логика. На тот момент Nuclear активно раздавал криптоблокера Locky, печально известного своими атаками на американские лечебные учреждения.

Вторая часть исчерпывающего документа Check Point посвящена рынку услуг на основе Nuclear. Здесь также подробно рассматриваются уязвимости, входящие в его арсенал, порядок доставки полезной нагрузки и возможные последствия.

«Я считаю, что исчезновение Nuclear связано с публикацией [статьи Check Point], — заявил Kafeine в ответ на запрос Threatpost. — В ней раскрыта инфраструктура Nuclear, что, по моему мнению, напугало владельца». Тем не менее Kafeine не исключил временный характер затишья, хотя на одном из русскоязычных форумов он обнаружил известие о прекращении сдачи этого эксплойт-пака в аренду и о том, что его создатель ушел [с форума]. «Если он вернется, сообщу об этом особо», — пишет автор этого поста.

Клиентура Angler тем временем переключилась на другие эксплойт-паки — Neutrino, RIG. До недавнего времени Angler активно использовался для раздачи CryptXXX, сменившего Locky, однако 9 июня в блоге центра SANS по сетевым угрозам появилась запись о том, что Angler неожиданно выпал из этой схемы. «Перед исчезновением Angler CryptXXX распространялся через Neutrino, однако всеобщая миграция началась с июня», — подтвердил Kafeine.

Сомнительно, чтобы столь результативные инструменты столь внезапно завершили свою карьеру, но любой спад их активности — желанная передышка для потенциальных жертв. «Некоторые группы снизили активность, но моя методика не позволяет подтвердить это твердыми цифрами, — сказал в заключение французский исследователь. — Я больше не вижу VirtualDonna. SadClowns в последнее время тоже никак себя не проявляет. Есть еще две группы, которые бездействуют».

Категории: Аналитика, Вредоносные программы