Исследователи нанесли ощутимый удар по экосистеме эксплойт-пака Angler, подорвав вымогательскую кампанию, которая способна ежегодно приносить злоумышленникам более $30 млн. В текущем году Angler обогнал всех своих конкурентов по активности и зачастую используется для доставки таких шифровальщиков, как CryptoWall, TeslaCrypt и AlphaCrypt.

Согласно отчету Talos, ИБ-подразделения Cisco, разгромная акция была проведена по результатам анализа недавней деятельности Angler и позволила вполовину умерить его пыл. Изучив данные за июль, исследователи обнаружили, что многие прокси-серверы, используемые эксплойт-паком, размещены у техасского хостинг-провайдера Limestone Networks. С его помощью группе Talos удалось отключить скомпрометированные серверы и исследовать их содержимое, чтобы получить представление о масштабах текущей вредоносной кампании и о способах монетизации Angler.

Как оказалось, жизнедеятельность этого эксплойт-пака сильно зависит от работоспособности множества прокси-серверов, через которые происходит обмен с потенциальными жертвами. Так, за месяц эксперты насчитали 147 прокси, с которыми соединялся наблюдаемый эксплойт-сервер, и каждый из этих узлов-однодневок пытался скомпрометировать около 9 тыс. IP-адресов. Эффективность Angler, по оценке Talos, составляет примерно 40%, то есть в период наблюдения успешный эксплойт мог собрать 529 тыс. жертв.

В 62% случаев в результате эксплойт-атаки на машину устанавливался криптоблокер, взимающий в среднем $300 за расшифровку. Согласно статистике US-CERT, выкуп платят порядка 2,9% жертв вымогательства, так что месячная выручка от наблюдаемой Angler-кампании, как подсчитали эксперты, вполне может достигать $3 млн, годовая — $34 млн.

Дэн Хаббард (Dan Hubbard), технический директор OpenDNS (ныне в составе Cisco), полагает, что на настоящий момент прикрытие в виде прокси-серверов находится в стадии разработки, однако эта мера может оказаться весьма эффективной. «Наблюдаемое строительство сложных прокси-сетей обеспечит злоумышленникам линейное масштабирование, как в CDN или стандартной веб-службе, — пишет Хаббард в блоге компании. — Отключение этих прокси-серверов не влияет на сервис, зато они помогают скрыть истинную инфраструктуру. Думаешь — вот и C&C, ан нет, это просто посредник между прокси и настоящим центром управления или эксплойт-сервером».

Согласно OpenDNS, которая отразила статистику по Angler-кампании в инфографике, злоумышленники используют 15 тыс. уникальных сайтов для раздачи эксплойтов. При их отработке в 60% случаев жертве грузится CryptoWall 3.0 или TeslaCrypt 2.0.

Чаще прочих Angler использует уязвимости в Adobe Flash и Internet Explorer, предпочитая атаковать завсегдатаев сайтов для взрослых и опечаленных чтецов некрологов. В последнем случае, видимо, его прельщает большое количество визитеров преклонного возраста, уязвимых к эксплойт-атакам.

За последние 12 месяцев Angler, впервые объявившийся в 2013 году, заметно повысил свою активность. В марте его операторы применили новую технику — затемнение доменов: воспользовавшись крадеными учетными данными, они регистрировали множество поддоменов, которые затем с высокой ротацией использовались как редиректоры на вредоносные площадки или для непосредственного размещения вредоносного контента.

В мае Angler был впервые уличен в пособничестве CryptoWall 3.0. Боевой арсенал этого эксплойт-пака постоянно обновляется, в основном за счет Flash-багов, которые были добавлены в набор в январе, мае и июле, почти сразу после оглашения взлома Hacking Team.

«Это сильный удар по расцветающей хакерской экономике в то самое время, когда вымогательство, подпольная продажа краденых IP-адресов, данных кредитных карт и личностной информации ежегодно приносят злоумышленникам сотни миллионов долларов» — так оценили исследователи свою вылазку во владения Angler.

Категории: Вредоносные программы, Главное