Trou dans le budget d’Angler

Les chercheurs ont porté un coup sensible à l’écosystème du kit d’exploits Angler en mettant hors d’état de nuire une campagne d’escroquerie qui rapportait plus de 30 millions de dollars par an aux individus malintentionnés. Cette année, Angler devance tous ses concurrents en terme d’activité et il est souvent utilisé pour livrer des malwares de chiffrement comme CryptoWall, TeslaCrypt et AlphaCrypt.

D’après un rapport de Talos, le service de sécurité de l’information de Cisco, cette action déstabilisatrice a pu être menée suite à l’analyse de l’activité récente d’Angler et a permis de neutraliser 50 % de l’activité du kit d’exploits. Sur la base des informations obtenues pour le mois de juillet, les chercheurs ont découvert que de nombreux serveurs proxy utilisés par le kit d’exploits sont hébergés par Limestone Networks au Texas. Avec l’aide de ce dernier, le groupe Talos a réussi à désactiver les serveurs compromis et à analyser leur contenu afin d’obtenir une idée de l’ampleur de la campagne malveillante en cours et des moyens utilisés par Angler pour obtenir l’argent.

Il se fait que l’activité de ce kit d’exploits dépend fortement du fonctionnement d’une multitude de proxy/serveurs utilisés pour les échanges avec les victimes potentielles. Ainsi, les experts ont constaté en un mois la connexion du serveur d’exploitation avec 147 proxy et chacun de ces nœuds journaliers tentait de compromettre près de 9 milles adresses IP. D’après Talos, l’efficacité d’Angler atteint environ 40 %, ce qui signifie qu’au cours de la période d’observation, le kit d’exploits aurait pu faire 529 000 victimes.

Dans 62 % des attaques du kit d’exploits contre des ordinateurs, un malware de chiffrement exigeant une rançon moyenne de 300 dollars pour le déchiffrement était installé. Les statistiques d’US-CERT indiquent que près de 2,9 % des victimes paient la rançon. Autrement dit, la campagne Angler observée aurait pu rapporter, d’après les experts, 3 millions de dollars par mois ou 34 millions de dollars par an.

Dan Hubbard, directeur technique d’OpenDNS (qui fait désormais partie de Cisco) estime qu’à l’heure actuelle, la dissimulation à l’aide de proxy/serveurs est toujours en phase de développement, mais cette technique pourrait s’avérer très efficace. Dans un billet publié dans le blog de la société, Dan Hubbard explique que « la mise en place de réseaux proxy/serveur complexes permet aux individus malintentionnés de suivre une progression linéaire, comme dans un CDN ou un service Internet authentique. La désactivation de ces proxy/serveurs n’a aucun impact sur le service et ils permettent de dissimuler l’infrastructure. On pense qu’il s’agit d’un serveur de commande alors qu’il s’agit simplement d’un intermédiaire entre un proxy et le véritable serveur de commande ou le serveur d’exploitation. »

D’après OpenDNS, qui a présenté les statistiques relatives à la campagne Angler dans un graphique, les individus malintentionnés utilisent 15 000 sites uniques pour diffuser les codes d’exploitation. Dans 60 % des cas de déclenchement, la victime télécharge CryptoWall 3.0 ou TeslaCrypt 2.0.

Angler utilise le plus souvent des vulnérabilités dans Adobe Flash et Internet Explorer et préfère attaquer les sites pour adultes et les sites qui publient des nécrologies. Visiblement, dans ce dernier cas, la campagne s’intéresse au nombre élevé d’Internautes d’un certain âge vulnérables aux codes d’exploitation.

Au cours des 12 derniers mois, Angler, dont l’apparition remonte à 2013, a renforcé son activité. Ses opérateurs ont adopté une nouvelle technique: le domain shadowing: grâce à des informations d’identification volées, ils ont enregistré une multitude de sous-domaines qui ont été ensuite utilisés, en rotation, comme site de redirection vers des sites malveillants ou pour héberger directement le contenu malveillant.

Le kit d’exploits a ajouté CryptoWall 3.0 en mai. L’arsenal de ce kit d’exploits est constamment actualisé, principalement grâce aux bogues Flash qui ont été ajoutés en janvier, en mai et en juillet, presque directement après la publication de l’attaque Hacking Team.

« C’est un coup dur qui a été porté à l’économie émergente des hackers au moment où les escroqueries, les ventes clandestines d’adresses IP, de données de carte de crédit et d’informations personnelles volées rapportent des centaines de millions de dollars aux individus malintentionnés » ont annoncé les chercheurs lors de la présentation de l’action contre Angler.

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *