Un buco nel bilancio di Angler

I ricercatori hanno inferto un duro colpo all’ecosistema che ruota attorno al famigerato exploit pack Angler, smantellando un’estesa campagna ransomware in grado di garantire ai malintenzionati, su scala annuale, profitti per oltre 30 milioni di dollari. Nel corso dell’anno corrente, Angler ha superato tutti i diretti concorrenti per il livello di attività dimostrato; tale kit di exploit viene spesso utilizzato per recapitare agli utenti-vittima temibili malware crittografici, quali CryptoWall, TeslaCrypt e AlphaCrypt.

Secondo il report stilato da Talos, la divisione di Cisco specializzata in sicurezza IT, l’azione che ha pesantemente minato l’efficacia dell’exploit pack in causa è stata condotta sulla base dei risultati ottenuti attraverso l’analisi delle attività più recenti di Angler; essa ha di fatto consentito di neutralizzare almeno il 50% della capacità offensiva di tale kit di exploit. Esaminando i dati relativi al mese di luglio, i ricercatori di Talos hanno scoperto che molti dei proxy server utilizzati da Angler risultavano collocati su server appartenenti a Limestone Networks, hosting provider texano con sede a Dallas. Con l’aiuto di quest’ultimo, il team di Talos è riuscito a disattivare i server compromessi e ad analizzare il loro contenuto, per avere un’idea sia delle effettive dimensioni della campagna malevola in corso, sia dei metodi di “monetizzazione” utilizzati da Angler.

È così emerso che l’attività di tale kit di exploit dipende fortemente dal funzionamento di una moltitudine di proxy server, attraverso i quali transitano i flussi di traffico che coinvolgono le potenziali vittime. Nell’arco di un mese, gli esperti hanno contato ben 147 proxy, con i quali si connetteva l’exploit server tenuto sotto osservazione; nella circostanza, è stato rilevato come ognuna di tali unità abbia tentato di compromettere circa 9.000 indirizzi IP. Il livello di riuscita di Angler, secondo le stime di Talos, raggiunge all’incirca il 40%; questo significa che, durante il periodo in cui sono state effettuate le osservazioni, tale exploit pack ha in pratica potuto mietere ben 529.000 vittime.

Nel 62% dei casi, a seguito dell’attacco portato dal kit di exploit, sul computer-vittima è stato installato un cryptoblocker, il quale, in media, esigeva il pagamento di un riscatto di 300 dollari $ per avviare l’eventuale operazione di decodifica. Secondo i dati statistici elaborati da US-CERT, il riscatto viene pagato da circa il 2,9% delle vittime della cyber-estorsione; questo significa che, per i criminali informatici, il guadagno mensile derivante dalla conduzione della campagna Angler qui esaminata, come hanno stimato gli esperti, può addirittura raggiungere i 3 milioni di dollari, mentre il profitto annuale può sfiorare, di conseguenza, i 34 milioni di dollari $.

Dan Hubbard, direttore tecnico di OpenDNS (società californiana che fa adesso parte di Cisco), ritiene che, attualmente, il metodo di camuffamento adottato dai malintenzionati – tramite l’utilizzo di proxy server – si trovi ancora in fase di sviluppo; ad ogni caso, tale particolare tecnica può rivelarsi molto efficace. “La struttura osservata, composta da sofisticate reti proxy, consente ai malfattori di poter seguire una progressione lineare, come nel caso di una rete CDN o di un servizio web standard, – scrive Hubbard sul blog della società. – La disattivazione di questi proxy server non influisce in alcun modo sul servizio; essi tuttavia, aiutano a nascondere la vera infrastruttura malevola. Si può pensare di trovarsi di fronte ad un server C&C, quando, in realtà, si tratta semplicemente di un intermediario tra i proxy server e l’effettivo centro di comando o l’exploit server”.

Secondo OpenDNS, che ha riassunto i dati statistici relativi alla campagna Angler tramite un apposito grafico informativo, i malintenzionati utilizzano ben 15.000 siti unici per realizzare la distribuzione degli exploit. Nel 60% dei casi di infezione generati dall’exploit pack, nei computer-vittima vengono recapitate temibili varianti di ransomware: CryptoWall 3.0 o TeslaCrypt 2.0.

Angler sfrutta in particolar modo le vulnerabilità individuate in Adobe Flash ed Internet Explorer, e preferisce attaccare gli utenti che frequentano i siti per adulti e gli utenti che visitano i siti web dedicati ai necrologi. Evidentemente, in questo ultimo caso, la campagna malevola intende colpire un elevato numero di navigatori di età piuttosto avanzata, particolarmente vulnerabili nei confronti degli attacchi exploit.

Nel corso degli ultimi 12 mesi, Angler, comparso per la prima volta sulla scena del malware nell’anno 2013, ha sensibilmente aumentato la propria attività. Nel mese di marzo, i suoi “operatori” hanno adottato una nuova tecnica, il domain shadowing: utilizzando credenziali di login illecitamente carpite, essi hanno registrato una moltitudine di sottodomini, in seguito utilizzati, ad alta rotazione, in qualità di redirector verso siti malevoli, oppure per ospitare direttamente i contenuti nocivi.

Nel successivo mese di maggio, Angler ha poi aggiunto CryptoWall 3.0. L’arsenale di cui dispone tale kit di exploit viene costantemente aggiornato; sono state ad esempio ripetutamente aggiunte nuove vulnerabilità Flash, in gennaio, maggio e luglio, quasi subito dopo la pubblicazione della notizia relativa all’eclatante fuga di dati a danno della società Hacking Team.

“Si tratta davvero di un duro colpo per la fiorente economia degli hacker, in un momento in cui la pratica della cyber-estorsione tramite ransomware, la vendita al mercato nero di indirizzi IP rubati, di dati sensibili relativi alle carte di credito e di informazioni personali, generano ogni anno, per i malintenzionati, profitti per centinaia di milioni di dollari”, – hanno infine sottolineato i ricercatori di Talos commentando l’azione intrapresa nei confronti di Angler.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *