Tag Archives: Angler Exploit Kit

Cisco Talos anula Angler Exploit Kit

cisco-talos-intel-itusersCisco dio un duro golpe a la economía del cibercrimen, interrumpiendo una significativa fuente internacional de ingresos generada por el reconocido Angler Exploit Kit.

Lima, Perú, 16 de Octubre del 2015.— Cisco dio un duro golpe a las estructuras de hackers, interrumpiendo una significativa fuente internacional de ingresos generada por el reconocido Angler Exploit Kit. Angler es uno de los más grandes exploit kits en el mercado y ha estado haciendo noticia, ya que se ha relacionado con varias campañas de publicidad maliciosa/ransomware de alto perfil.

Hasta ahora Angler ha sido el más avanzado y preocupante exploit kit en el mercado, diseñado para eludir dispositivos de seguridad y atacar a la mayor cantidad de equipos posibles como objetivo final.

En su investigación, Cisco determinó que un excesivo número de servidores proxy utilizados por Angler estaban ubicados en los servidores del proveedor de servicios Limestone Networks –con la principal amenaza responsable de hasta el 50% de la actividad del Angler Exploit Kit, que iba dirigido a 90.000 víctimas por día, generando más de $30 millones al año. Esto implica, que si se aplica toda la actividad de Angler, los ingresos generados podrían superar los $60 millones anuales. Talos ha gando visibilidad adicional en la actividad global de la red a través de su colaboración permanente con el Nivel 3 de Threat Research Labs. Por último, gracias a nuestra continua colaboración con OpenDNS fuimos capaces de ver a profundidad la actividad del dominio asociado a los competidores.

Medidas tomadas por Cisco:

  • Cierre de acceso a clientes mediante la actualización de productos para detener el redireccionamiento a los servidores proxy de Anger.
  • Publicación de reglas de Snort para detectar y bloquear verificaciones de los controles de seguridad.
  • Todas las reglas están siendo publicadas a la comunidad a través de Snort.
  • Los mecanismos de publicación de comunicaciones incluyen protocolos para que otros puedan protegerse y proteger a sus clientes.
  • Cisco también está publicando IoCs (Indicators of Compromise) para que los clientes puedan analizar su propia actividad en la red y bloquear el acceso a los servidores restantes.

Este es un golpe significativo a la economía emergente de hackers donde el ransomware y la venta en el mercado negro de IPs, información de tarjetas de crédito e información de identificación personal (PII) robadas generan cientos de millones de dólares anuales.

Resumen técnico

Parece que cada semana Angler Exploit Kit está en las noticias, ya sea por el Domain Shadowing, la integración en cero días o haciendo campañas de publicidad maliciosa a gran escala, siempre dominando el panorama de las amenazas. Esta es una lucha constante entre atacantes y defensores. Estamos constantemente monitoreando y actualizando la cobertura ante amenazas. Con base en esta batalla constante, Talos decidió sumergirse profundamente en los datos de telemetría de Angler y ha hecho algunos descubrimientos sorprendentes.

Los datos fueron recopilados originalmente a partir de julio de 2015 e incluyeron información de todas las fuentes disponibles. Julio ofreció una oportunidad única porque Angler pasó por varias iteraciones de desarrollo, incluyendo cambios en la estructura de las URL y la aplicación de varias vulnerabilidades sin parches de Adobe Flash. Durante el análisis, surgieron tendencias y patrones. El trabajo abordó tendencias en uso de dominios, referers, exploits, payloads y hosting, siendo las asociadas a este último tema las que condujeron a los descubrimientos más significativos.

Al analizar los datos, se encontró una gran parte de la actividad de Angler centrada en un único proveedor de hosting, Limestone Networks. Talos colaboró con Limestone para recopilar alguna información previamente desconocida sobre Angler. La colaboración incluía detalles relacionados con el flujo de datos, su gestión y escala.

Angler está en realidad construida sobre una configuración de proxy/servidor. Solo hay un servidor exploit que se encarga de servir a la actividad maliciosa a través de múltiples servidores proxy. El servidor proxy es el sistema con el que los usuarios se comunican, lo que permite al adversario cambiar rápidamente al mismo tiempo que protege el servidor exploit de ser identificado y expuesto.

Adicionalmente, hay un servidor de vigilancia que está llevando a cabo controles, recopilando información sobre los hosts que están siendo explotados y que borra de forma remota los archivos de registro una vez que la información ha sido extraída. Este servidor de salud reveló el alcance y la escala de la campaña y nos ayudó a poder poner un valor monetario a la actividad.

Un solo servidor de salud se vio monitoreando 147 servidores proxy en el lapso de un mes, generando más de $3.000.000 de dólares en ingresos. Éste solo adversario fue responsable de aproximadamente la mitad de la actividad Angler observada, haciendo más de $30 millones de dólares al año solo en infecciones con ransomware.

La monetización de la economía de malware ha evolucionado en los últimos años. Cada año vemos pequeñas innovaciones que conducen hacia el gran avance ocasional. Hoy en día estamos viendo los resultados de años de grandes avances que se combina con una unidad de descarga de vectores para formar uno de los ataques más eficaces y rentables en Internet.

Debido a la naturaleza dinámica de algunos de los contenidos usted puede encontrar el artículo completo en talosintel.com aquí.

Revelaciones del Informe Cisco Midyear Security Report

cisco-sourcefire-itusersEl Informe Cisco Midyear Security Report Revela que los Ciberataques Sofisticados están Definiendo la Carrera de Innovación entre Adversarios y Defensores. Los resultados resaltan la necesidad de un análisis retrospectivo para reducir el tiempo de detección.

SAN JOSE, CA, 30 de julio del 2015.— El Informe Cisco® 2015 Midyear Security Report analiza la inteligencia contra amenazas y tendencias de seguridad cibernética y revela la necesidad crítica de las organizaciones para reducir el tiempo de detección (TTD) con el fin de remediar los ataques sofisticados por parte de actores de amenazas altamente motivados. El Angler Exploit Kit representa los tipos de amenazas comunes que pondrán a prueba a las organizaciones mientras que la economía digital y el Internet of Everything (IoE) crean nuevos vectores de ataque y oportunidades de monetización para los adversarios.

El reporte muestra que los nuevos riesgos asociados con Flash, la evolución de ransomware y la campaña del malware mutante Dridex, refuerzan la necesidad de reducir el tiempo de detección. Con la digitalización de los negocios y el IoE, las amenazas y malware se vuelven incluso más penetrantes, lo cual es una luz de alerta en las estimaciones de 100 a 200 días para el TTD en la industria de seguridad. En contraste, el TTD promedio para Cisco Advanced Malware Protection (AMP) es de 46 horas con su análisis retrospectivo de ataques que sobrepasan las defensas existentes.

Los resultados también resaltan la necesidad de las empresas por implementar soluciones integradas vs. productos puntuales, trabajar con vendedores confiables y reclutar proveedores de servicios de seguridad para orientación y evaluación. Además, los expertos en geopolítica han declarado que se necesita un marco de cibergobierno global para sostener el crecimiento económico.

Otros resultados clave del estudio incluyen lo siguiente:

  • Angler: Adversarios Apuntando en el Sombreado Angler es actualmente uno de los exploit kits más sofisticados y más usados debido al uso innovador de Flash, Java, Internet Explorer y vulnerabilidades Silverlight. También sobrepasa el intento de evadir la detección empleando observación del dominio domain shadowing) como una de sus técnicas, representando la mayor parte de la actividad con el seguimiento muy de cerca del dominio.
  • Flash ha vuelto – Las vulnerabilidades Exploits de Adobe Flash, que están integradas con Angler y Nuclear exploit kits están aumentando. Esto se debe tanto a la falta de parches automatizados, como los consumidores que no logran actualizar de inmediato.
    • En la primera mitad del 2015 ha aumentado el número de vulnerabilidades de Adobe Flash Player en un 66% de acuerdo con lo reportado por el sistema Common Vulnerabilities and Exposure (CVE) en 2014. A este paso, Flash está en camino de establecer un record histórico por el número de CVEs reportados en el 2015.
  • La Evolución del Ransomware – El ransomware se mantiene altamente lucrativo para los hackers, debido a que crean nuevas variantes continuamente. Las operaciones ransomeware han madurado hasta el punto que son completamente automatizadas y realizadas a través de la dark web. Para ocultar las transacciones de pago del cumplimiento de la ley, los ransoms se pagan en divisas encriptadas como bitcoin.
  • Dridex: Campañas en marcha – Los creadores de estas campañas rápidamente mutantes tienen una sofisticada comprensión para evadir las medidas de seguridad. Como parte de sus tácticas de evasión, los atacantes cambian rápidamente el contenido de los correos electrónicos, los agentes de usuario, archivos adjuntos o los referentes y lanzan nuevas campañas, obligando a los sistemas de antivirus tradicionales a detectarlos nuevamente.

Un llamado de Ataque

La carrera de la innovación entre los adversarios y los vendedores de seguridad se está acelerando, poniendo a los usuarios finales y las organizaciones en constante riesgo. Los vendedores deben estar atentos en desarrollar soluciones de seguridad integradas que ayuden a las organizaciones a ser proactivas y a alinear a las personas, procesos y tecnología correctos.

Defensa Integrada contra Amenazas

Las organizaciones se enfrentan a importantes desafíos con soluciones de productos puntuales y necesitan considerar una arquitectura de defensa contra amenazas integrado, que incorpora la seguridad en todas partes y se ejecutará en cualquier punto de control.

Los Servicios Llenan el Vacío

Como las direcciones de la industria de seguridad aumentaron la fragmentación, su panorama dinámico de amenaza y la forma de enfrentar un déficit creciente de talento calificado, las empresas deben invertir en soluciones de seguridad y servicios profesionales eficaces, sostenibles y confiables.

Marco Global de Ciber Gobernanza

La ciber gobernanza global no está preparada para manejar el panorama de las amenazas emergentes o desafíos geopolíticos. La cuestión de límites —la forma en que los gobiernos recopilan datos sobre los ciudadanos y las empresas y comparten entre jurisdicciones— es un obstáculo importante para lograr la ciber gobernanza cohesiva, ya que la cooperación en todo el mundo es limitada. Se necesita un marco de ciber gobernanza colaborativo de múltiples partes interesadas para sostener la innovación empresarial y el crecimiento económico en un escenario global.

Vendedores Confiables

Las organizaciones deben exigir que sus proveedores de tecnología sean transparentes y capaces de demostrar la seguridad que incorporan en sus productos con el fin de ser considerados dignos de confianza. Estas organizaciones deben llevar este conocimiento a través de todos los aspectos de desarrollo de productos que comienzan con la cadena de suministro y a través de la vida de sus productos. Deben requerir que sus vendedores solucionen sus reclamos y exigir una mayor seguridad.

El Cisco 2015 Midyear Security Report lo encuentra en: http://www.cisco.com/web/offers/lp/2015-midyear-security-report/index.html?keycode=000854836www.cisco.com/go/msr2015

Citas de Apoyo

John N. Stewart, senior vice president, chief security and trust officer, Cisco: «Las organizaciones no pueden solo aceptar que el compromiso es inevitable, incluso si así parece en el momento. La industria de la tecnología debe jugársela y ofrecer productos y servicios confiables y resistentes y la industria de la seguridad debe proporcionar capacidades mejoradas y simplificadas para detectar, prevenir y recuperarse de los ataques. Aquí es donde somos líderes. Nos han dicho regularmente que las estrategias de negocio y de seguridad son los dos asuntos más importantes para nuestros clientes y quieren asociaciones confiables con nosotros. La confianza está estrechamente vinculada a la seguridad y la transparencia es clave para que la tecnología líder en la industria este solo en la mitad de la batalla. Estamos comprometidos a ofrecer ambos: Las capacidades de seguridad que definen la industria y las soluciones de confianza en todas las líneas de productos«.

Jason Brvenik, principal engineer, Security Business Group, Cisco: «Los hackers, libres de responsabilidad, tienen las de ganar en agilidad, innovación y desfachatez. Esto lo vemos una y otra vez, ya sea actores estatales, malware, exploit kits o ransomware. Un enfoque puramente preventivo ha demostrado ser ineficaz y estamos demasiado lejos en el camino para aceptar un tiempo de detección medido en cientos de días. La pregunta de ‘¿qué hace cuando está en peligro?’ resalta la necesidad de que las organizaciones inviertan en tecnologías integradas que funcionan en conjunto para reducir el tiempo de detección y corrección a una cuestión de minutos, entonces deben exigir a sus proveedores que les ayuden a reducir este indicador a minutos«.

Acerca de Cisco

Cisco es el líder mundial en TI que ayuda a las empresas a aprovechar las oportunidades del mañana, demostrando que cosas asombrosas pueden suceder cuando se conecta a los previamente desconectados.

Para noticias visite:

  • Español: http://newsroom.cisco.com/latamnetwork/
  • Portugués: http://newsroom.cisco.com/brasilnetwork
  • Blog América Latina: http://cisco-latinoamerica.com
  • Síganos y únase a la conversación en twitter: @CiscoNoticias

Cisco, el logotipo de Cisco y Cisco Systems y Cisco IOS son marcas registradas o marcas de Cisco Systems, Inc. y/o sus afiliadas en los Estados Unidos y en algunos otros países. Un listado de las marcas se puede encontrar en www.cisco.com/go/trademarks Todas las demás marcas mencionadas en este documento son la propiedad de sus respectivos dueños. El uso de la palabra socio (partner) no implica una relación de sociedad entre Cisco y cualquier otra compañía. Este documento es información pública de Cisco.