Cisco заблокировала инфраструктуру опасного эксплойт-набора Angler
Корпорация Cisco нанесла удар по сообществу киберпреступников, поставив под угрозу крупный источник нелегальных доходов, создаваемый при помощи эксплойт-набора Angler. Последний по оценкам специалистов только при помощи программ-вымогателей ежегодно приносил злоумышленникам около 60 млн долл. Angler спроектирован так, чтобы преодолевать системы защиты и поражать огромное количество разнообразных устройств.
Благодаря сотрудничеству с лабораторией Level 3 Threat Research Labs подразделение Cisco Talos получило дополнительную информацию об этой вредоносной сети. Кроме того, с помощью компании OpenDNS удалось добиться углубленного понимания доменной активности, осуществляемой Angler. После этого Cisco приняла контрмеры:
- Обновление соответствующих продуктов позволило заблокировать доступ заказчиков к прокси-серверам Angler;
- Были выпущены специальные наборы правил для системы Snort, позволившие выявлять и блокировать внутренние коммуникации вредоносной сети;
- Через систему Snort все правила были предоставлены сообществу;
- Чтобы и другие вендоры могли защитить себя и своих заказчиков, были опубликованы данные о механизмах взаимодействия и протоколах, используемых Angler;
- Кроме того, Cisco опубликовала индикаторы компрометации, позволяющие анализировать свою сетевую активность и блокировать доступ к оставшимся вредоносным серверам.
Активный сбор информации об Angler начался в июле, когда набор подвергся некоторым усовершенствованиям. Анализ собранной информации позволил выявить ряд закономерностей, касающихся использования хостинга, доменов, referer-заголовков, эксплойтов и рабочих нагрузок вредоносного ПО.
Так, выяснилось, что множество прокси-серверов (серверов-посредников), используемых Angler, расположено на площадках компании Limestone Networks (хостинг-провайдер в штате Техас). Они обеспечивали до половины всей активности Angler, заражая около 90 тыс. жертв в день. Сотрудничество с компанией Limestone позволило специалистам подразделения Talos выявить важную информацию о деятельности Angler и предпринять контр-меры.
