Компания Cisco поставила под угрозу крупный источник нелегальных доходов, создаваемый при помощи эксплойт-набора Angler.
Angler спроектирован так, чтобы преодолевать системы защиты и поражать огромные количества разнообразных устройств. Благодаря сотрудничеству с лабораторией Level 3 Threat Research Labs подразделение Cisco Talos получило дополнительную информацию об этой вредоносной сети. Кроме того, с помощью компании OpenDNS удалось добиться углубленного понимания доменной активности, осуществляемой Angler. После этого Cisco приняла контрмеры: обновление соответствующих продуктов позволило заблокировать доступ заказчиков к прокси-серверам Angler, были выпущены специальные наборы правил для системы Snort, позволившие выявлять и блокировать внутренние коммуникации вредоносной сети, через систему Snort все правила были предоставлены сообществу, чтобы и другие вендоры могли защитить себя и своих заказчиков, были опубликованы данные о механизмах взаимодействия и протоколах, используемых Angler. Кроме того, Cisco опубликовала индикаторы компрометации, позволяющие анализировать свою сетевую активность и блокировать доступ к оставшимся вредоносным серверам.
Эксплойт-набор Angler постоянно находится в поле зрения и часто упоминается в новостях из мира информационной безопасности, посвященных теневым доменам, уязвимостям нулевого дня и масштабным кампаниям по распространению вредоносной рекламы. Налицо непрекращающаяся война между киберпреступниками и силами информационной безопасности. В рамках этой борьбы подразделение Cisco Talos провело тщательное исследование телеметрической информации, связанной с Angler, и сделало ряд открытий.
Активный сбор информации начался в июле 2015 года, когда Angler подвергся некоторым усовершенствованиям. Анализ собранной информации позволил выявить ряд закономерностей, касающихся использования хостинга, доменов, referer-заголовков, эксплойтов и рабочих нагрузок вредоносного ПО. Так, выяснилось, что множество прокси-серверов, используемых Angler, расположено на площадках компании Limestone Networks. Они обеспечивали до половины всей активности Angler, заражая около 90 тысяч жертв в день и ежегодно принося злоумышленникам приблизительно 30 млн долларов только за счет программ-вымогателей. Совокупный же доход, получаемый киберпреступниками в результате всей деятельности Angler, мог превышать 60 млн долларов в год.
Сотрудничество с компанией Limestone позволило специалистам подразделения Talos выявить важную информацию о деятельности Angler, например, подробные данные о коммуникациях, управлении и масштабировании этого вредоносного ПО. Выяснилось, что механизм работы эксплойт-набора Angler предусматривает работу через сеть посреднических прокси-серверов. Во главе этой сети находится управляющий сервер, обеспечивающий распространение вредоносной активности через множество серверов-посредников. Конечные пользователи взаимодействуют именно с прокси-серверами, благодаря чему злоумышленники могут быстро менять структуру коммуникаций и тем самым предотвращать обнаружение главного управляющего сервера. Кроме того, в этой системе есть сервер, используемый для наблюдения за работоспособностью всей вредоносной сети. Он собирает данные об узлах, зараженных эксплойтом, а при обнаружении дистанционно удаляет все следы своего присутствия. Изучив работу этого сервера, специалисты Talos смогли оценить масштаб всей кампании и сделать приблизительную оценку финансовых потоков, связанных с данной вредоносной активностью.