Interrumpió una significativa fuente internacional de ingresos generada por el reconocido Angler Exploit Kit. Se trata de uno de los más grandes exploit kits en el mercado, que se ha relacionado con varias campañas de publicidad maliciosa/ransomware de alto perfil.
Hasta ahora Angler ha sido el más avanzado y preocupante exploit kit en el mercado, diseñado para eludir dispositivos de seguridad y atacar a la mayor cantidad de equipos posibles como objetivo final.
En su investigación, Cisco determinó que un excesivo número de servidores proxy utilizados por Angler estaban ubicados en los servidores del proveedor de servicios Limestone Networks, con la principal amenaza responsable de hasta el 50% de la actividad del Angler Exploit Kit, que iba dirigido a 90.000 víctimas por día, generando más de US$30 millones al año. Esto implica, que si se aplica toda la actividad de Angler, los ingresos generados podrían superar los US$60 millones anuales.
“Talos ha ganado visibilidad adicional en la actividad global de la red a través de su colaboración permanente con el Nivel 3 de Threat Research Labs. Por último, gracias a nuestra continua colaboración con OpenDNS fuimos capaces de ver a profundidad la actividad del dominio asociado a los competidores”, comunicaron desde la compañía, a través de un post escrito por Nick Biasini con contribuciones de Joel Esler, Nick Hebert, Warren Mercer, Matt Olney, Melissa Taylor, y Craig Williams.
Medidas tomadas
Circo comunicó el cierre de acceso a clientes mediante la actualización de productos para detener el redireccionamiento a los servidores proxy de Anger, también la publicación de reglas de Snort para detectar y bloquear verificaciones de los controles de seguridad.
Asimismo, informó que todas las reglas están siendo publicadas a la comunidad a través de Snort, y que los mecanismos de publicación de comunicaciones incluyen protocolos para que otros puedan protegerse y proteger a sus clientes.
Cisco también está publicando IoCs (Indicators of Compromise) para que los clientes puedan analizar su propia actividad en la red y bloquear el acceso a los servidores restantes.
“Este es un golpe significativo a la economía emergente de hackers donde el ransomware y la venta en el mercado negro de IPs, información de tarjetas de crédito e información de identificación personal (PII) robadas generan cientos de millones de dólares anuales”, destaca el autor del post.
Más información
http://talosintel.com/
