Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon El Exploit Kit Angler desaparece después de la detención de varios miembros rusos


El panorama de los exploits kits está cambiando rápidamente, el EK (Exploit Kit) Nuclear y Angler desaparecieron y el tráfico malicioso en general ha caído un 96% desde abril. Varios expertos argumentan que la desapareción está relacionado la detención de varios delincuentes de origen Ruso que serían los distribuidores principales.





Como han destacado varios expertos en seguridad el panorama de amenazas en continua evolución, a pesar que  el submundo del crimen fue monopolizado por Angler y Nuclear, usados durante varios años han representado una grave amenaza para los usuarios en línea.

El tráfico malicioso relacionado con Neutrino y RIG EKS demuestra el alto interés en estos kits de criminalidad de los autores de malware. Los datos interesantes que surgen de la observación es la caída drástica del tráfico, en torno al 96% desde principios de abril.

La detención de Paunch, el autor de Blackhole Exploit Kit, en octubre de 2013 podría haber enviado un mensaje claro a los demás mercados cibernéticos subterráneos, teniendo en cuenta los cambios radicales en las estadísticas de paquetes de exploits. 

Un exploit kit es básicamente una herramienta que los criminales cibernéticos utilizan para explotar las vulnerabilidades en tu sistema e infectarlo con malware.




Ejemplo de familias de malware instalados por Angler en abril de 2015.




Un EK se vende en los círculos criminales para que cualquiera pueda comprarlo por un buen precio.


Angler desaparece


Cuando se produce un suceso de este tipo es bastante frecuente que se dispare la rumorología, más aun cuando esta desaparición se ha producido de forma tan repentina. Algunos expertos apuntan a la detención de 50 miembros de una organización criminal rusa que utilizaba el malware Lurk.

La botnet Necurs, una de las  arquitecturas maliciosa más grande del mundo utilizado para difundir las amenazas como Dridex y Locky parece haber desaparecido desde el 1 de junio.

Los kits de exploit Angler y Nuclear parecen estar desaparecido también, probablemente debido a los éxitos de la aplicación de la ley en la industria del malware. No te alegres, creeemos que este momento ees transitorio dado que el anillo principal de criminales están buscando nuevas estructuras.

La EK Nuclear, la más antigua de los EK vistos, se observó por última vez a finales de abril, pero los expertos en seguridad no tienen información específica con respecto a la suspensión de sus actividades.

En abril de 2015, los expertos de Check Point publicó un interesante informe sobre la EK Nuclear y la infraestructura utilizada por sus operadores, una máquina de dinero que fue operado por un grupo de desarrolladores rusos dirigidos por un individuo en Krasnodar, Rusia.

¿Qué pasa con la EK Nuclear?

De acuerdo con los expertos de Symantec, no hay evidencia de la actividad del Nuclear desde la primera semana de mayo.



La desaparición del Nuclear EK también ha llevado a una caída de la actividad en CryptXXX ransomware (Trojan.Cryptolocker.AN). Angler fue uno de los principales canales de distribución para CryptXXX. ", Informó el análisis publicado por Symantec. "Angler no es el único kit de explotación que desaparece recientemente de la escena. El conocido Nuclear exploit kit convirtió inactiva desde principios de mayo. Dado que esto ocurrió un mes antes, no está claro si existe alguna relación con los desarrollos más recientes


La similitud Blackhole y Angler ha llevado a los investigadores a preguntarse si la banda de Angler también han sido detenidos. De hecho, una fuente de la industria de seguridad dijo que había oído SecurityWeek de acción que podrá inminente contra la banda, pero no dio más detalles. Más específicamente, sin embargo, los investigadores están pensando en los últimos 50 detenciones en Rusia que estaban asociados públicamente con los usuarios de malware de Lurk.

Sin duda hay un vínculo entre Lurk y Angler. Kafeine comenta, "Con las últimas 50 detenciones vinculadas al a Lurk fue la variante 'Indexm' de Anglerentre 2012 y principios de 2016 ... podríamos pensar que hay una conexión y que algunos han dado un paso atrás."

Lo que no está claro es si el temor de la banda de Angler es que algunos entre los cincuenta detenciones podrían estar directamente implicados, o sis on las mismas personas están detrás de los dos conjuntos de programas maliciosos. El análisis de Kafeine "sugiere interrupción en la infraestructura de Angler. No sería la primera vez que un exploit kit ha muerto debido a la aplicación de la ley (Blackhole). Es de esperar que no será la última."

Gráfico: EK actividad nuclear reportado por Symantec




Lo que es interesante notar, sin embargo, es que un gráfico publicado por Proofpoint la semana pasada sugiere que la Nuclear estaba todavía activo durante la segunda quincena de mayo.

Así que La desaparición del Angler podría estar causado por las actividades de aplicación de la ley, incluyendo las últimas 50 detenciones en Rusia que estaban vinculados a las operaciones del malware Lurk.

Leemos acerca de Angler desde junio, la mayor parte de prensa reciente se relaciona con la inclusión de los varios 0-days en Adobe Flash  y la mejora de técnicas de evasión.

De acuerdo con los expertos de Proofpoint, la desaparición del Angler y EKS Nuclear, empujó la adopción de Neutrino y RIG.


De Angler a Neutrino


"Curiosamente, el cambio a Neutrino ya estaba en marcha en el momento en que fue reportado por primera vez, con el tráfico de Angler cayó drásticamente tan pronto como a mediados de mayo, y EK nuclear afectada también. Angler y la actividad nuclear EK se ha reducido a casi nada como actores de amenaza se trasladaron a instancias del Neutrino Pasar de un exploit kit a otro no es nada nuevo y los agentes de amenaza puede incluso utilizar más de una forma regular. Sin embargo, con la excepción de un breve descanso en enero, Angler ha dominado el mercado de EK durante algún tiempo, como hemos explicado en el Resumen de Amenazas para enero-marzo ", señala el informe publicado por Proofpoint.





Los expertos de Kaspersky Lab confirman las tendencias anteriores destacando que los grupos criminales cambiaron a Neutrino y RIG.

¿Qué ocurrirá en el futuro? Es muy difícil de decir, de todos modos, los ciberdelincuentes cambian solamente sus armas pero seguirán con sus actividades ilegales.


¿Qué es un Exploit Kit conocido como EK?

Un exploit kit o paquete de exploit, es un tipo de kit de herramientas que los ciberdelincuentes parecen haber favorecido en los últimos años para llevar a cabo ataques basados en Web para distribuir malware.

Varios kits desde entonces se han desarrollado a continuación, vendidos o alquilados como productos comerciales en los mercados subterráneos.

Un típico exploit kit por lo general proporciona una consola de administración, un grupo de vulnerabilidades dirigidas a diferentes aplicaciones, y varias funciones de complemento que hacen que sea más fácil para un criminal cibernético para lanzar un ataque.



El aumento de la explotación de los kits en los mercados subterráneos empuja explotar kit de desarrolladores para mejorar el sigilo y la eficiencia de su producto. Actualmente, hay 70 diferentes paquetes de exploits en la naturaleza que se aprovechan de más de un centenar de vulnerabilidades.

Ejemplos de Vulnerabilidaes

  • Internet Explorer
  • Java
  • Adobe Flash Player
  • Adobe Reader



Una de las cosas que hacen que un paquete de exploits efectiva es que muchos de sus rutinas se ejecutan automáticamente.

Un exploit Kit es un conjuntos de herramientas, o kits, que permiten fácil y rápidamente explotar 
vulnerabilidades, muchas veces a personas con mínimos conocimientos técnicos.

De hecho, estos kits de exploits, o Exploit Kits, se han convertido en un lucrativo negocio. Lo más habitual es que el kit incluya un interfaz de usuario muy fácil de manejar que ayuda a quien lo desee a lanzar un ataque. La facilidad de uso y su alcance es lo que hace que un kit sea más popular, tenga más usuarios y haga que su creador se convierta en millonario.

Lo más habitual es que un Exploit Kit se cree en un país, y se venda en otro, sea desde un tercero desde se use para lanzar el ataque hacia un cuarto, y en un quinto donde se localicen los servidores C&C; repartido de esta forma es complicado atribuir a nadie en concreto la actividad maliciosa.

Ha sido hace unos cinco años, cuando Zeus o Blackhole estaban en pleno apogeo, cuando se han convertido en un negocio que permite a un atacante comprar y descargar el kit, crear un ejecutables para explotar vulnerabilidades específicas y además añadir técnicas de evasión para los antivirus, establecer una infraestructura de comando y control (C&C) y empezar a enviar el malware a través de mensajes de spam o páginas web comprometidas. Llegados a esta punto la tarea del atacante se limita a monitorizar esos servidores C&C y recoger las credenciales comprometidas, para después venderlas o hacer uso de ellas.

Adobe Reader y Java eran los exploits más populares en 2008; exploits de Java fue la aplicación específica  utilizada en 2013. Sin embargo, encontramos que las vulnerabilidades de PDF Reader y Java no han sido actualizadas desde 2014. Por el contrario, 5 paquetes de exploits ha sido utilizados para Microsoft Silverlight hacia finales de 2013 y por igual en 2014, por lo que es el objetivo superior.

Los exploits para Internet Explorer también se consideraron un vector de ataque primario. Las cosas cambiaron, sin embargo, después de que Microsoft dio a conocer un important boletín de seguridad, que incluía una mejora significativa para mitigar la vulnerabilidad UAF (User After Free) Después de eso, sólo un exploit para Internet Explorerfue incluido en paquetes de exploits, CVE-2.014 a 6.332, el que Microsoft corrigió inmediatamente. Este cambio parece haber conducido hacia los atacantes hacía el reproductor de Flash. 

Fuentes:
http://securityaffairs.co/wordpress/48594/malware/exploit-kit-traffic-drop.html
https://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-evolution-of-exploit-kits.pdf
http://www.securityweek.com/did-angler-exploit-kit-die-russian-lurk-arrests

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.