Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 8/10/2015
Flere af serverne, som har huset exploit kittet Angler, er lukket ned. Cisco deler information om truslen, så andre kan beskytte sig mod den.Angler exploit kit er et program, der kører på en webserver. Hvis en browser besøger serveren, forsøger programmet at udnytte en række kendte sårbarheder til at inficere pcen med.
Sikkerhedsforskere fra Cisco Talos har fundet frem til en række informationer om Angler. De har opdaget, at exploit kittet kører på en server, hvis indhold kopieres over på en lang række proxy-servere. På den måde kan bagmændene beskytte serveren, idet forsøg på at stoppe truslen kun går ud over proxy-serverne.
Et enkelt hosting-firma viste sig at stå bag halvdelen af Angler-aktiviteten. Ved at samarbejde med det fik Cisco information om truslen og mulighed for at lukke mange af proxyserverne ned.
Cisco har udsendt såkaldte IOCer (Indicator of Compromise), som kan bruges til at påvise infektioner. Der er også udsendt IDS-regler i Snort-format til at opdage Angler-trafik på et netværk.
Anbefaling
Sikkerhedsfolk bør udnytte informationen om Angler til at spærre for adgangen til de farlige websteder.
Links
- Threat Spotlight: Cisco Talos Thwarts Access to Massive International Exploit Kit Generating $60M Annually From Ransomware Alone, blogindlæg fra Cisco Talos
- Cisco Disrupts Major Ransomware Operation Powered by Angler EK, artikel fra SecurityWeek
- Researchers Disrupt Angler Exploit Kit Ecosystem, Derail $30M Ransomware Campaign, artikel fra Kaspersky Threatpost