{"id":62,"date":"2015-10-15T15:48:23","date_gmt":"2015-10-15T15:48:23","guid":{"rendered":"http:\/\/blog.alvarconsultores.com.uy\/?p=62"},"modified":"2015-10-15T15:48:23","modified_gmt":"2015-10-15T15:48:23","slug":"cisco-pone-fin-al-ciclo-angler-exploit-kit","status":"publish","type":"post","link":"https:\/\/blog.alvarconsultores.com.uy\/?p=62","title":{"rendered":"Cisco pone fin al ciclo Angler Exploit Kit."},"content":{"rendered":"

\"Sin<\/a><\/p>\n

La firma Cisco Talos fue con todo para desmantelar las estructuras de Angler Exploit Kit, uno de los exploits m\u00e1s peligrosos de los \u00faltimos tiempos, y con una fuente internacional de ingresos bastante elevada gracias a su capacidad de infecci\u00f3n. Esta amenaza es uno de los m\u00e1s grandes kits de exploit en la actualidad, hace ya varios meses que se viene relacionando con varias campa\u00f1as de publicidad maliciosa. Angler, catalogado como una amenaza de alto perfil, fue hasta hace unos d\u00edas el m\u00e1s avanzado y preocupante exploit en el mercado, su desarrollo inteligente le permit\u00eda eludir los m\u00e1s complejos dispositivos de seguridad y atacar un gran n\u00famero de equipos para que caigan en sus redes maliciosas.<\/p>\n

La actividad que ten\u00eda Angler era descomunal, el informe publicado por Cisco aclar\u00f3 que la gran mayor\u00eda de los servidores proxy utilizados por Angler estaban alojados en los servidores del proveedor de servicios Limestone Networks, donde estaba el principal foco de actividad, cerca del 50% de la actividad maliciosa que iba dirigida a 90.000 v\u00edctimas por d\u00eda, y generando una suma de 30 millones de d\u00f3lares por a\u00f1o. Si a estos valores se le suma toda la actividad que ten\u00eda el exploit en todo el mundo, los ingresos se elevan hasta superar los 60 millones de d\u00f3lares por a\u00f1o. El equipo de Talos, principal colaborador de Cisco en este desmantelamiento, ha ganado visibilidad adicional en la actividad global de la red mediante la colaboraci\u00f3n con el Nivel 3 de Threat Research Labs, y gracias a la colaboraci\u00f3n de Cisco con OpenDNS se pudo ver a fondo la actividad del dominio asociado a los competidores.<\/p>\n

El cese de operaciones de Angler es un duro golpe para la econom\u00eda emergente de hackers donde el ransomware y la venta de IPs en el mercado negro, informaci\u00f3n de tarjetas de cr\u00e9dito e informaci\u00f3n de identificaci\u00f3n personal robada generan ingresos de cientos de millones de d\u00f3lares por a\u00f1o.<\/p>\n

Angler Exploit Kit era una amenaza de alto calibre, todas las semanas estaba en las noticias, ya sea por el Domain Shadowing, su integraci\u00f3n en 0-Days o haciendo campa\u00f1as de publicidad maliciosa por todo el mundo, pero algo es seguro, siempre se mantuvo en las primeras posiciones. Los datos publicados por Cisco comenzaron originalmente en julio de 2015 e incluyen informaci\u00f3n de todas las fuentes posibles, este mes fue clave ya que Angler pas\u00f3 por varias fases de desarrollo, inclusive modificando la estructura de las URL y la aplicaci\u00f3n de varias vulnerabilidades sin parches de Adobe Flash. La peligrosidad de Flash sigue siendo un dolor de cabeza para cualquier ingeniero inform\u00e1tico, qui\u00e9n sabe qu\u00e9 otra amenaza pueda estar aprovech\u00e1ndose de alguna vulnerabilidad en Flash para infectar a los usuarios, pero por suerte, Angler ya no es una de ellas. El completo an\u00e1lisis de los investigadores cubri\u00f3 todos los campos de batalla; referers, exploits, payloads y hosting, siendo este \u00faltimo donde se encontraron los descubrimientos que llevaron al objetivo.<\/p>\n

La empresa proveedora de servicios Limestone Networks era la \u201cculpable\u201d de m\u00e1s del 50% de la actividad de Angler. Es as\u00ed como Talos se puso en marcha y colabor\u00f3 con Limestone para recopilar informaci\u00f3n sobre la actividad maliciosa que estaba siendo operada desde sus servidores.<\/p>\n

Angler estaba construido sobre una configuraci\u00f3n de proxy\/servidor, pero solo hay un \u00fanico servidor exploit que se encarga de servir a la actividad maliciosa mediante m\u00faltiples servidores proxy. El servidor proxy es el sistema con el que se comunican los usuarios, por lo que le permite al contrincante cambiar velozmente mientras que protege el servidor exploit de ser descubierto y expuesto.<\/p>\n

Dentro de esta campa\u00f1a de detecci\u00f3n y desactivaci\u00f3n, se activ\u00f3 un servidor de vigilancia que llevaba a cabo controles, recopilando informaci\u00f3n sobre los hosts que estaban siendo explotados y que borraba remotamente los archivos de registro cuando la informaci\u00f3n hab\u00eda sido extra\u00edda. Gracias a este servidor encargado de realizar dichas acciones, se pudo estimar el alcance de esta campa\u00f1a y las cifras monetarias que estaba manejando.<\/p>\n

\u00danicamente un servidor se vio monitoreando a 147 servidores proxy en un per\u00edodo de tiempo de un mes, generando m\u00e1s de 3 millones de d\u00f3lares de ganancias. En un solo d\u00eda se logr\u00f3 encontrar aproximadamente 9.000 direcciones IP \u00fanicas con alrededor de 3.600 usuarios comprometidos, por d\u00eda, se estima que los usuarios pagaron un promedio de 300 d\u00f3lares para recuperar sus archivos como causa de la infecci\u00f3n con ransomware. Los n\u00fameros fr\u00edos quedar\u00edan de la siguiente manera; por d\u00eda se estaba recaudando 95.153 d\u00f3lares, por mes 2.854.593 d\u00f3lares, y por a\u00f1o 34.255.116 d\u00f3lares.<\/p>\n

Por suerte y con el trabajo de varias firmas aliadas se est\u00e1n desmantelando grandes amenazas y redes maliciosas que ponen en riesgo la seguridad de los internautas. Seguramente en este momento hay muchas m\u00e1s amenazas por ser descubiertas y los investigadores estar\u00e1n haciendo lo posible por poner fin a las creaciones que no le hacen ning\u00fan bien a los usuarios.<\/p>\n

\n","protected":false},"excerpt":{"rendered":"

La firma Cisco Talos fue con todo para desmantelar las estructuras de Angler Exploit Kit, uno de los exploits m\u00e1s peligrosos de los \u00faltimos tiempos, y con una fuente internacional de ingresos bastante elevada gracias a su capacidad de infecci\u00f3n. Esta amenaza es uno de los m\u00e1s grandes kits de exploit en la actualidad, hace […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-62","post","type-post","status-publish","format-standard","hentry","category-sin-categoria"],"_links":{"self":[{"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/posts\/62","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=62"}],"version-history":[{"count":1,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/posts\/62\/revisions"}],"predecessor-version":[{"id":64,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/posts\/62\/revisions\/64"}],"wp:attachment":[{"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=62"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=62"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=62"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}