InterrumpiĆ³ una significativa fuente internacional de ingresos generada por el reconocido Angler Exploit Kit. Se trata de uno de los mĆ”s grandes exploit kits en el mercado, que se ha relacionado con varias campaƱas de publicidad maliciosa/ransomware de alto perfil.
Hasta ahora Angler ha sido el mƔs avanzado y preocupante exploit kit en el mercado, diseƱado para eludir dispositivos de seguridad y atacar a la mayor cantidad de equipos posibles como objetivo final.
En su investigaciĆ³n, Cisco determinĆ³ que un excesivo nĆŗmero de servidores proxy utilizados por Angler estaban ubicados en los servidores del proveedor de servicios Limestone Networks, con la principal amenaza responsable de hasta el 50% de la actividad del Angler Exploit Kit, que iba dirigido a 90.000 vĆctimas por dĆa, generando mĆ”s de US$30 millones al aƱo. Esto implica, que si se aplica toda la actividad de Angler, los ingresos generados podrĆan superar los US$60 millones anuales.
“Talos ha ganado visibilidad adicional en la actividad global de la red a travĆ©s de su colaboraciĆ³n permanente con el Nivel 3 de Threat Research Labs. Por Ćŗltimo, gracias a nuestra continua colaboraciĆ³n con OpenDNS fuimos capaces de ver a profundidad la actividad del dominio asociado a los competidores”, comunicaron desde la compaƱĆa, a travĆ©s de un post escrito por Nick Biasini con contribuciones de Joel Esler, Nick Hebert, Warren Mercer, Matt Olney, Melissa Taylor, y Craig Williams.
Medidas tomadas
Circo comunicĆ³ el cierre de acceso a clientes mediante la actualizaciĆ³n de productos para detener el redireccionamiento a los servidores proxy de Anger, tambiĆ©n la publicaciĆ³n de reglas de Snort para detectar y bloquear verificaciones de los controles de seguridad.
Asimismo, informĆ³ que todas las reglas estĆ”n siendo publicadas a la comunidad a travĆ©s de Snort, y que los mecanismos de publicaciĆ³n de comunicaciones incluyen protocolos para que otros puedan protegerse y proteger a sus clientes.
Cisco tambiƩn estƔ publicando IoCs (Indicators of Compromise) para que los clientes puedan analizar su propia actividad en la red y bloquear el acceso a los servidores restantes.
“Este es un golpe significativo a la economĆa emergente de hackers donde el ransomware y la venta en el mercado negro de IPs, informaciĆ³n de tarjetas de crĆ©dito e informaciĆ³n de identificaciĆ³n personal (PII) robadas generan cientos de millones de dĆ³lares anuales”, destaca el autor del post.