News

Un buco nel bilancio di Angler

I ricercatori hanno inferto un duro colpo all’ecosistema che ruota attorno al famigerato exploit pack Angler, smantellando un’estesa campagna ransomware in grado di garantire ai malintenzionati, su scala annuale, profitti per oltre 30 milioni di dollari. Nel corso dell’anno corrente, Angler ha superato tutti i diretti concorrenti per il livello di attività dimostrato; tale kit di exploit viene spesso utilizzato per recapitare agli utenti-vittima temibili malware crittografici, quali CryptoWall, TeslaCrypt e AlphaCrypt.

Secondo il report stilato da Talos, la divisione di Cisco specializzata in sicurezza IT, l’azione che ha pesantemente minato l’efficacia dell’exploit pack in causa è stata condotta sulla base dei risultati ottenuti attraverso l’analisi delle attività più recenti di Angler; essa ha di fatto consentito di neutralizzare almeno il 50% della capacità offensiva di tale kit di exploit. Esaminando i dati relativi al mese di luglio, i ricercatori di Talos hanno scoperto che molti dei proxy server utilizzati da Angler risultavano collocati su server appartenenti a Limestone Networks, hosting provider texano con sede a Dallas. Con l’aiuto di quest’ultimo, il team di Talos è riuscito a disattivare i server compromessi e ad analizzare il loro contenuto, per avere un’idea sia delle effettive dimensioni della campagna malevola in corso, sia dei metodi di “monetizzazione” utilizzati da Angler.

È così emerso che l’attività di tale kit di exploit dipende fortemente dal funzionamento di una moltitudine di proxy server, attraverso i quali transitano i flussi di traffico che coinvolgono le potenziali vittime. Nell’arco di un mese, gli esperti hanno contato ben 147 proxy, con i quali si connetteva l’exploit server tenuto sotto osservazione; nella circostanza, è stato rilevato come ognuna di tali unità abbia tentato di compromettere circa 9.000 indirizzi IP. Il livello di riuscita di Angler, secondo le stime di Talos, raggiunge all’incirca il 40%; questo significa che, durante il periodo in cui sono state effettuate le osservazioni, tale exploit pack ha in pratica potuto mietere ben 529.000 vittime.

Nel 62% dei casi, a seguito dell’attacco portato dal kit di exploit, sul computer-vittima è stato installato un cryptoblocker, il quale, in media, esigeva il pagamento di un riscatto di 300 dollari $ per avviare l’eventuale operazione di decodifica. Secondo i dati statistici elaborati da US-CERT, il riscatto viene pagato da circa il 2,9% delle vittime della cyber-estorsione; questo significa che, per i criminali informatici, il guadagno mensile derivante dalla conduzione della campagna Angler qui esaminata, come hanno stimato gli esperti, può addirittura raggiungere i 3 milioni di dollari, mentre il profitto annuale può sfiorare, di conseguenza, i 34 milioni di dollari $.

Dan Hubbard, direttore tecnico di OpenDNS (società californiana che fa adesso parte di Cisco), ritiene che, attualmente, il metodo di camuffamento adottato dai malintenzionati – tramite l’utilizzo di proxy server – si trovi ancora in fase di sviluppo; ad ogni caso, tale particolare tecnica può rivelarsi molto efficace. “La struttura osservata, composta da sofisticate reti proxy, consente ai malfattori di poter seguire una progressione lineare, come nel caso di una rete CDN o di un servizio web standard, – scrive Hubbard sul blog della società. – La disattivazione di questi proxy server non influisce in alcun modo sul servizio; essi tuttavia, aiutano a nascondere la vera infrastruttura malevola. Si può pensare di trovarsi di fronte ad un server C&C, quando, in realtà, si tratta semplicemente di un intermediario tra i proxy server e l’effettivo centro di comando o l’exploit server”.

Secondo OpenDNS, che ha riassunto i dati statistici relativi alla campagna Angler tramite un apposito grafico informativo, i malintenzionati utilizzano ben 15.000 siti unici per realizzare la distribuzione degli exploit. Nel 60% dei casi di infezione generati dall’exploit pack, nei computer-vittima vengono recapitate temibili varianti di ransomware: CryptoWall 3.0 o TeslaCrypt 2.0.

Angler sfrutta in particolar modo le vulnerabilità individuate in Adobe Flash ed Internet Explorer, e preferisce attaccare gli utenti che frequentano i siti per adulti e gli utenti che visitano i siti web dedicati ai necrologi. Evidentemente, in questo ultimo caso, la campagna malevola intende colpire un elevato numero di navigatori di età piuttosto avanzata, particolarmente vulnerabili nei confronti degli attacchi exploit.

Nel corso degli ultimi 12 mesi, Angler, comparso per la prima volta sulla scena del malware nell’anno 2013, ha sensibilmente aumentato la propria attività. Nel mese di marzo, i suoi “operatori” hanno adottato una nuova tecnica, il domain shadowing: utilizzando credenziali di login illecitamente carpite, essi hanno registrato una moltitudine di sottodomini, in seguito utilizzati, ad alta rotazione, in qualità di redirector verso siti malevoli, oppure per ospitare direttamente i contenuti nocivi.

Nel successivo mese di maggio, Angler ha poi aggiunto CryptoWall 3.0. L’arsenale di cui dispone tale kit di exploit viene costantemente aggiornato; sono state ad esempio ripetutamente aggiunte nuove vulnerabilità Flash, in gennaio, maggio e luglio, quasi subito dopo la pubblicazione della notizia relativa all’eclatante fuga di dati a danno della società Hacking Team.

“Si tratta davvero di un duro colpo per la fiorente economia degli hacker, in un momento in cui la pratica della cyber-estorsione tramite ransomware, la vendita al mercato nero di indirizzi IP rubati, di dati sensibili relativi alle carte di credito e di informazioni personali, generano ogni anno, per i malintenzionati, profitti per centinaia di milioni di dollari”, – hanno infine sottolineato i ricercatori di Talos commentando l’azione intrapresa nei confronti di Angler.

Fonte: Threatpost

Un buco nel bilancio di Angler

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox