La firma Cisco Talos fue con todo para desmantelar las estructuras de Angler Exploit Kit, uno de los exploits más peligrosos de los últimos tiempos, y con una fuente internacional de ingresos bastante elevada gracias a su capacidad de infección. Esta amenaza es uno de los más grandes kits de exploit en la actualidad, hace ya varios meses que se viene relacionando con varias campañas de publicidad maliciosa. Angler, catalogado como una amenaza de alto perfil, fue hasta hace unos días el más avanzado y preocupante exploit en el mercado, su desarrollo inteligente le permitía eludir los más complejos dispositivos de seguridad y atacar un gran número de equipos para que caigan en sus redes maliciosas.
La actividad que tenía Angler era descomunal, el informe publicado por Cisco aclaró que la gran mayoría de los servidores proxy utilizados por Angler estaban alojados en los servidores del proveedor de servicios Limestone Networks, donde estaba el principal foco de actividad, cerca del 50% de la actividad maliciosa que iba dirigida a 90.000 víctimas por día, y generando una suma de 30 millones de dólares por año. Si a estos valores se le suma toda la actividad que tenía el exploit en todo el mundo, los ingresos se elevan hasta superar los 60 millones de dólares por año. El equipo de Talos, principal colaborador de Cisco en este desmantelamiento, ha ganado visibilidad adicional en la actividad global de la red mediante la colaboración con el Nivel 3 de Threat Research Labs, y gracias a la colaboración de Cisco con OpenDNS se pudo ver a fondo la actividad del dominio asociado a los competidores.
El cese de operaciones de Angler es un duro golpe para la economía emergente de hackers donde el ransomware y la venta de IPs en el mercado negro, información de tarjetas de crédito e información de identificación personal robada generan ingresos de cientos de millones de dólares por año.
Angler Exploit Kit era una amenaza de alto calibre, todas las semanas estaba en las noticias, ya sea por el Domain Shadowing, su integración en 0-Days o haciendo campañas de publicidad maliciosa por todo el mundo, pero algo es seguro, siempre se mantuvo en las primeras posiciones. Los datos publicados por Cisco comenzaron originalmente en julio de 2015 e incluyen información de todas las fuentes posibles, este mes fue clave ya que Angler pasó por varias fases de desarrollo, inclusive modificando la estructura de las URL y la aplicación de varias vulnerabilidades sin parches de Adobe Flash. La peligrosidad de Flash sigue siendo un dolor de cabeza para cualquier ingeniero informático, quién sabe qué otra amenaza pueda estar aprovechándose de alguna vulnerabilidad en Flash para infectar a los usuarios, pero por suerte, Angler ya no es una de ellas. El completo análisis de los investigadores cubrió todos los campos de batalla; referers, exploits, payloads y hosting, siendo este último donde se encontraron los descubrimientos que llevaron al objetivo.
La empresa proveedora de servicios Limestone Networks era la “culpable” de más del 50% de la actividad de Angler. Es así como Talos se puso en marcha y colaboró con Limestone para recopilar información sobre la actividad maliciosa que estaba siendo operada desde sus servidores.
Angler estaba construido sobre una configuración de proxy/servidor, pero solo hay un único servidor exploit que se encarga de servir a la actividad maliciosa mediante múltiples servidores proxy. El servidor proxy es el sistema con el que se comunican los usuarios, por lo que le permite al contrincante cambiar velozmente mientras que protege el servidor exploit de ser descubierto y expuesto.
Dentro de esta campaña de detección y desactivación, se activó un servidor de vigilancia que llevaba a cabo controles, recopilando información sobre los hosts que estaban siendo explotados y que borraba remotamente los archivos de registro cuando la información había sido extraída. Gracias a este servidor encargado de realizar dichas acciones, se pudo estimar el alcance de esta campaña y las cifras monetarias que estaba manejando.
Únicamente un servidor se vio monitoreando a 147 servidores proxy en un período de tiempo de un mes, generando más de 3 millones de dólares de ganancias. En un solo día se logró encontrar aproximadamente 9.000 direcciones IP únicas con alrededor de 3.600 usuarios comprometidos, por día, se estima que los usuarios pagaron un promedio de 300 dólares para recuperar sus archivos como causa de la infección con ransomware. Los números fríos quedarían de la siguiente manera; por día se estaba recaudando 95.153 dólares, por mes 2.854.593 dólares, y por año 34.255.116 dólares.
Por suerte y con el trabajo de varias firmas aliadas se están desmantelando grandes amenazas y redes maliciosas que ponen en riesgo la seguridad de los internautas. Seguramente en este momento hay muchas más amenazas por ser descubiertas y los investigadores estarán haciendo lo posible por poner fin a las creaciones que no le hacen ningún bien a los usuarios.