Expertos en seguridad de Cisco Systems han coartado las actividades del infame paquete de exploits Angler, que adquirió predominancia durante este año al ser una de las herramientas preferidas de los cibercriminales para infectar a los internautas.
La herramienta era conocida por ofrecer a los cibercriminales que no querían o podían desarrollar sus propios exploits la capacidad de explotar vulnerabilidades en navegadores y complementos del navegador. Los exploits de Angler lograban infectar los equipos un 40% de las veces, lo que lo convirtió en el “paquete de exploits más eficiente que Talos haya visto”, según el grupo Talos de Cisco.
Angler distribuía en su mayoría los programas chantajistas CryptoWall y TeslaCrypt, que cifraban los datos del equipo infectado hasta que su víctima pagaba un rescate en bitcoins a los cibercriminales para volver a tener acceso a su información. Se calcula que, durante el último año, Angler generó ganancias maliciosas de alrededor de 60 millones de dólares sólo con los programas chantajistas.
Las operaciones de Cisco contra Angler significan un duro golpe al mundo cibercriminal. La organización trabajó con el apoyo de OpenDNS y Level 3 Threat Research para investigar los datos de Angler. Es así como descubrieron que gran parte de sus actividades provenían de un servidor en Estados Unidos llamado Limestone Networks. Con la ayuda de este servidor, los investigadores monitorizaron las acciones de Angler en tiempo real. Es así como descubrieron algunas de las tácticas de los cibercriminales para esconder sus actividades de los investigadores.
En primer lugar, utilizaban una infinidad de servidores proxy que confundían a los analistas de seguridad. El servidor de control detectó 147 proxies. Otra táctica consistía en usar referentes. “Más de 15.000 sitios web únicos dirigían al paquete de exploits, el 99,8% de los cuales se usó menos de 10 veces, lo que ilustra su baja frecuencia. Esto significa que la mayoría de los referentes estuvieron activos por muy poco tiempo y se eliminaron después de atacar a unos cuantos usuarios. Esta es una de las características que hace que Angler sea tan difícil de atrapar”, indica el informe de Cisco.
La información proveída por Limestone Networks no sólo ayudó a comprender el funcionamiento de Angler, también ayudó a combatirlo. Cisco pudo copiar los protocolos de autenticación que emplearon los atacantes, lo que le permitió ponerse en contacto con las compañías de seguridad para que bloqueen los ordenadores infectados.
La información también dio las herramientas necesarias a los proveedores de alojamiento para que cierren los servidores maliciosos y permitió a Cisco actualizar sus productos para detener las redirecciones a los proxies de Angler, así los atacantes ya no tenían acceso a los equipos de sus clientes. “(la operación) va a hacer mucho daño a la red de los atacantes”, aseguró Craig Williams, director de la unidad Talos de Cisco.
Fuentes
Cisco pega un golpe crítico al paquete de exploits Angler