Infos

Trou dans le budget d’Angler

Les chercheurs ont porté un coup sensible à l’écosystème du kit d’exploits Angler en mettant hors d’état de nuire une campagne d’escroquerie qui rapportait plus de 30 millions de dollars par an aux individus malintentionnés. Cette année, Angler devance tous ses concurrents en terme d’activité et il est souvent utilisé pour livrer des malwares de chiffrement comme CryptoWall, TeslaCrypt et AlphaCrypt.

D’après un rapport de Talos, le service de sécurité de l’information de Cisco, cette action déstabilisatrice a pu être menée suite à l’analyse de l’activité récente d’Angler et a permis de neutraliser 50 % de l’activité du kit d’exploits. Sur la base des informations obtenues pour le mois de juillet, les chercheurs ont découvert que de nombreux serveurs proxy utilisés par le kit d’exploits sont hébergés par Limestone Networks au Texas. Avec l’aide de ce dernier, le groupe Talos a réussi à désactiver les serveurs compromis et à analyser leur contenu afin d’obtenir une idée de l’ampleur de la campagne malveillante en cours et des moyens utilisés par Angler pour obtenir l’argent.

Il se fait que l’activité de ce kit d’exploits dépend fortement du fonctionnement d’une multitude de proxy/serveurs utilisés pour les échanges avec les victimes potentielles. Ainsi, les experts ont constaté en un mois la connexion du serveur d’exploitation avec 147 proxy et chacun de ces nœuds journaliers tentait de compromettre près de 9 milles adresses IP. D’après Talos, l’efficacité d’Angler atteint environ 40 %, ce qui signifie qu’au cours de la période d’observation, le kit d’exploits aurait pu faire 529 000 victimes.

Dans 62 % des attaques du kit d’exploits contre des ordinateurs, un malware de chiffrement exigeant une rançon moyenne de 300 dollars pour le déchiffrement était installé. Les statistiques d’US-CERT indiquent que près de 2,9 % des victimes paient la rançon. Autrement dit, la campagne Angler observée aurait pu rapporter, d’après les experts, 3 millions de dollars par mois ou 34 millions de dollars par an.

Dan Hubbard, directeur technique d’OpenDNS (qui fait désormais partie de Cisco) estime qu’à l’heure actuelle, la dissimulation à l’aide de proxy/serveurs est toujours en phase de développement, mais cette technique pourrait s’avérer très efficace. Dans un billet publié dans le blog de la société, Dan Hubbard explique que « la mise en place de réseaux proxy/serveur complexes permet aux individus malintentionnés de suivre une progression linéaire, comme dans un CDN ou un service Internet authentique. La désactivation de ces proxy/serveurs n’a aucun impact sur le service et ils permettent de dissimuler l’infrastructure. On pense qu’il s’agit d’un serveur de commande alors qu’il s’agit simplement d’un intermédiaire entre un proxy et le véritable serveur de commande ou le serveur d’exploitation. »

D’après OpenDNS, qui a présenté les statistiques relatives à la campagne Angler dans un graphique, les individus malintentionnés utilisent 15 000 sites uniques pour diffuser les codes d’exploitation. Dans 60 % des cas de déclenchement, la victime télécharge CryptoWall 3.0 ou TeslaCrypt 2.0.

Angler utilise le plus souvent des vulnérabilités dans Adobe Flash et Internet Explorer et préfère attaquer les sites pour adultes et les sites qui publient des nécrologies. Visiblement, dans ce dernier cas, la campagne s’intéresse au nombre élevé d’Internautes d’un certain âge vulnérables aux codes d’exploitation.

Au cours des 12 derniers mois, Angler, dont l’apparition remonte à 2013, a renforcé son activité. Ses opérateurs ont adopté une nouvelle technique: le domain shadowing: grâce à des informations d’identification volées, ils ont enregistré une multitude de sous-domaines qui ont été ensuite utilisés, en rotation, comme site de redirection vers des sites malveillants ou pour héberger directement le contenu malveillant.

Le kit d’exploits a ajouté CryptoWall 3.0 en mai. L’arsenal de ce kit d’exploits est constamment actualisé, principalement grâce aux bogues Flash qui ont été ajoutés en janvier, en mai et en juillet, presque directement après la publication de l’attaque Hacking Team.

« C’est un coup dur qui a été porté à l’économie émergente des hackers au moment où les escroqueries, les ventes clandestines d’adresses IP, de données de carte de crédit et d’informations personnelles volées rapportent des centaines de millions de dollars aux individus malintentionnés » ont annoncé les chercheurs lors de la présentation de l’action contre Angler.

Source: Threatpost

Trou dans le budget d’Angler

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception