С уходом в небытие сильнейших игроков рынка эксплойт-паков — Angler, Nuclear, Neutrino — их молодой собрат RIG выбился в лидеры, но так и не смог с ними сравняться. С тех пор прошло более полутора лет; новых претендентов на пальмовую ветвь не появилось, а RIG, по данным Palo Alto Networks, за последний год сократил свое присутствие в Сети на 92%.

Исследователь Брэд Дункан (Brad Duncan) из Palo Alto давно и прилежно наблюдает активность эксплойт-паков; он одним из первых заметил спад, начавшийся в середине 2016 года. На тот момент агрессивные Angler и Nuclear совсем исчезли с интернет-арены, а к сентябрю, после разгрома масштабной malvertising-кампании с участием Neutrino, его операторы тоже свернули свою деятельность.

Из заметных игроков на этом рынке остались RIG, Sundown и Magnitude, однако в прошлом году последние два тоже ушли в тень. Набор эксплойтов RIG, напротив, продолжал совершенствоваться и использовался в основном для доставки вымогательского ПО. Так, в январе 2017 года этот эксплойт-пак, по словам Дункана, принял участие в 39 различных киберкампаниях. С его помощью в течение года распространялись Locky, CryptoShield, Spora, Cerber, Matrix.

Однако с апреля активность RIG пошла на спад, а за третий квартал, по данным Palo Alto, снизилась на 31%. В январе 2018 года исследователи зарегистрировали лишь 65 обращений к Flash-эксплойтам, ассоциируемым с этим эксплойт-паком, — против 812 годом ранее.

Все шифровальщики, распространявшиеся через RIG, давно затихли, и сдавший позиции лидер рынка ныне обслуживает распространителей криптомайнеров и прокси-трояна Bunitu, а также похитителей информации вроде Ramnit. Правда, в конце января  этот эксплойт-пак в течение четырех дней работал на вымогателей, оперирующих GandCrab.

Тактика операторов RIG, по свидетельству Дункана, изменилась, но трафик по-прежнему узнаваем. После разгромной акции, проведенной весной прошлого года совместными усилиями экспертов, RIG потерял свою инфраструктуру, использовавшуюся для защиты от занесения его серверов в черные списки.

С этой целью операторы эксплойт-пака регистрировали огромное количество поддоменов и быстро меняли их по принципу domain shadowing (“затенения” доменов). Лишившись этой возможности, злоумышленники начали использовать IP-адреса для идентификации своих серверов и продолжают это делать и поныне.

Шаблоны URL тоже несколько изменились: вместо узнаваемых слов на английском языке появились закодированные по Base64 строки. RIG все еще пытается скрыться от обнаружения, но потеря инфраструктуры domain shadowing сильно ограничила его возможности.

Сокращение использования наборов эксплойтов, по словам Дункана, можно объяснить прежде всего ростом защищенности браузеров. Самые распространенные из этих продуктов постепенно отказываются от морально устаревшего Flash, отдавая предпочтение HTML5. Даже киберпреступники заметили, что для эксплойт-паков настали тяжелые времена, — многие из них переключились на спам-рассылки или оттачивают методы социальной инженерии.

Категории: Аналитика, Вредоносные программы, Главное