Cibercrimen: Cisco Talos anula el Angler Exploit Kit
Cisco dio un duro golpe a la economía del cibercrimen, interrumpiendo una significativa fuente internacional de ingresos generada por el reconocido Angler Exploit Kit.
Hoy, Cisco dio un duro golpe a las estructuras de hackers, interrumpiendo una significativa fuente internacional de ingresos generada por el reconocido Angler Exploit Kit. Angler es uno de los más grandes exploit kits en el mercado y ha estado haciendo noticia, ya que se ha relacionado con varias campañas de publicidad maliciosa/ransomware de alto perfil.
Hasta ahora Angler ha sido el más avanzado y preocupante exploit kit en el mercado, diseñado para eludir dispositivos de seguridad y atacar a la mayor cantidad de equipos posibles como objetivo final.
En su investigación, Cisco determinó que un excesivo número de servidores proxy utilizados por Angler estaban ubicados en los servidores del proveedor de servicios Limestone Networks –con la principal amenaza responsable de hasta el 50% de la actividad del Angler Exploit Kit, que iba dirigido a 90.000 víctimas por día, generando más de $30 millones al año. Esto implica, que si se aplica toda la actividad de Angler, los ingresos generados podrían superar los $60 millones anuales. Talos ha gando visibilidad adicional en la actividad global de la red a través de su colaboración permanente con el Nivel 3 de Threat Research Labs. Por último, gracias a nuestra continua colaboración con OpenDNS fuimos capaces de ver a profundidad la actividad del dominio asociado a los competidores.
Medidas tomadas por Cisco:
- Cierre de acceso a clientes mediante la actualización de productos para detener el redireccionamiento a los servidores proxy de Anger.
- Publicación de reglas de Snort para detectar y bloquear verificaciones de los controles de seguridad.
- Todas las reglas están siendo publicadas a la comunidad a través de Snort.
- Los mecanismos de publicación de comunicaciones incluyen protocolos para que otros puedan protegerse y proteger a sus clientes.
- Cisco también está publicando IoCs (Indicators of Compromise) para que los clientes puedan analizar su propia actividad en la red y bloquear el acceso a los servidores restantes.
Este es un golpe significativo a la economía emergente de hackers donde el ransomware y la venta en el mercado negro de IPs, información de tarjetas de crédito e información de identificación personal (PII) robadas generan cientos de millones de dólares anuales.
Resumen técnico
Parece que cada semana Angler Exploit Kit está en las noticias, ya sea por el Domain Shadowing, la integración en cero días o haciendo campañas de publicidad maliciosa a gran escala, siempre dominando el panorama de las amenazas. Esta es una lucha constante entre atacantes y defensores. Estamos constantemente monitoreando y actualizando la cobertura ante amenazas. Con base en esta batalla constante, Talos decidió sumergirse profundamente en los datos de telemetría de Angler y ha hecho algunos descubrimientos sorprendentes.
Los datos fueron recopilados originalmente a partir de julio de 2015 e incluyeron información de todas las fuentes disponibles. Julio ofreció una oportunidad única porque Angler pasó por varias iteraciones de desarrollo, incluyendo cambios en la estructura de las URL y la aplicación de varias vulnerabilidades sin parches de Adobe Flash. Durante el análisis, surgieron tendencias y patrones. El trabajo abordó tendencias en uso de dominios, referers, exploits, payloads y hosting, siendo las asociadas a este último tema las que condujeron a los descubrimientos más significativos.
Al analizar los datos, se encontró una gran parte de la actividad de Angler centrada en un único proveedor de hosting, Limestone Networks. Talos colaboró con Limestone para recopilar alguna información previamente desconocida sobre Angler. La colaboración incluía detalles relacionados con el flujo de datos, su gestión y escala.
Angler está en realidad construida sobre una configuración de proxy/ servidor. Solo hay un servidor exploit que se encarga de servir a la actividad maliciosa a través de múltiples servidores proxy. El servidor proxy es el sistema con el que los usuarios se comunican, lo que permite al adversario cambiar rápidamente al mismo tiempo que protege el servidor exploit de ser identificado y expuesto.
Adicionalmente, hay un servidor de vigilancia que está llevando a cabo controles, recopilando información sobre los hosts que están siendo explotados y que borra de forma remota los archivos de registro una vez que la información ha sido extraída. Este servidor de salud reveló el alcance y la escala de la campaña y nos ayudó a poder poner un valor monetario a la actividad.
Un solo servidor de salud se vio monitoreando 147 servidores proxy en el lapso de un mes, generando más de $3.000.000 de dólares en ingresos. Éste solo adversario fue responsable de aproximadamente la mitad de la actividad Angler observada, haciendo más de $30 millones de dólares al año solo en infecciones con ransomware.
La monetización de la economía de malware ha evolucionado en los últimos años. Cada año vemos pequeñas innovaciones que conducen hacia el gran avance ocasional. Hoy en día estamos viendo los resultados de años de grandes avances que se combina con una unidad de descarga de vectores para formar uno de los ataques más eficaces y rentables en internet.
Debido a la naturaleza dinámica de algunos de los contenidos usted puede encontrar el artículo completo en talosintel.com aquí.
Talos Group | 06 de octubre 2015 a las 5:00 am PST
Este post fue escrito por Nick Biasini con contribuciones de Joel Esler, Nick Hebert, Warren Mercer, Matt Olney, Melissa Taylor, y Craig Williams.
Tags:- #BeCyberSmart
- #comunicacionesunificadas
- #CyberSecMonth
- #CyberSecurityMonth
- #educadigital
- #LifeOnWebex
- #NCSAMwithCiscoSecure
- 5G
- Adam Cheyer
- adn datacenters
- Agilidad
- Alianzas
- alumnos
- amenazas
- amenazas cibernéticas
- AMP
- AMP for Endpoints
- Analytics
- Angler
- Angler Exploit Kit
- aplicaciones
- aplicaciones SQL
- asesoría
- ataques
- ataques cibernéticos
- ataques informáticos
- atencion al cliente
- atención ciudadana
- atenciónalcliente
- aulas virtuales
- avaya
- awareness
- Banca del Futuro
- BE4K
- Big Data
- blockchain
- blog cisco
- Blogs
- Brand
- Bridge
- Bridge la revista
- Bring your Own Device (BYOD)
- business resiliency
- Bussiness Edition 4000
- BYOD
- Cajatel
- Canalys
- cansac
- cansac ciberataques
- capex
- Carrera Cisco Live 5k
- carrera IT
- CASP
- Catalyst 9000
- CCNA
- CCNP
- centro de datos
- centros de datos
- certificaciones
- CEWN
- ciberataque
- ciberataques
- cibercriminales
- ciberdelincuentes
- Cibersecurity
- ciberseguridad
- ciberseguridad gubernamental
- ciberseguridad pública
- Cisco ACI
- Cisco Advanced Malware Protection (AMP) para Endpoints
- Cisco Campus
- Cisco Catalyst
- cisco certifications
- Cisco CloudCenter
- Cisco CloudLock
- Cisco Colaboración
- Cisco Collaboration
- Cisco Connect
- Cisco Connect LatAm
- Cisco Connected Mobile Experience
- Cisco DNA
- Cisco DNA Spaces
- Cisco DX80
- Cisco Empowered Women´s Network
- Cisco Financial Services
- Cisco Hyperflex
- Cisco Identity Services Engine
- Cisco IWAN
- Cisco Kinetic
- Cisco Live
- Cisco Live 2015
- cisco live 2016
- Cisco Live 2017
- Cisco Live 2018
- Cisco Live Cancún
- Cisco Live Data Center
- Cisco Live LA
- Cisco Live Latinoamérica
- Cisco Live Latinoamérica 2016
- Cisco Live Latinoamérica 2017
- Cisco Meraki
- Cisco MX300
- Cisco MX700
- Cisco MX800
- Cisco Networking Academy
- Cisco Nexus
- Cisco ONE
- Cisco ONE Software
- cisco partners
- Cisco Retail
- cisco secure
- Cisco Security
- Cisco Security Connector
- Cisco Spark
- Cisco Spark Board
- Cisco Systems
- Cisco TAC
- Cisco Talos
- Cisco Tetration Analytics
- Cisco UCS
- cisco umbrella
- Cisco WEbEx
- Cisco Webex Meetings
- Cisco Webex Teams
- Cisco360 Series
- CiscoMWC
- CiscoSecure
- ciscosecurre
- ciscospark
- CISO
- Cisoc webex
- CISOs
- Citrix
- ciudad conectada
- ciudad inteligente
- ciudades inteligentes
- CL 2017
- Cloud
- Cloud Day
- CloudLock
- CLUS
- Colaboración
- Colaboracion cognitiva
- colaboración empresarial
- Colaboración en Educación
- colegio
- colegios
- comunicaciones
- Comunicaciones Unificadas
- concurso
- conectividad
- conexiones
- conferencia
- Connected Factory
- Connected Security
- consumer
- Consumer 2020
- Consumidor
- Consumo
- contact center
- contactcenter
- coronavirus
- Costa Rica
- covid-19
- custoemr care
- customer care
- customer journey
- CX
- cybersecurity
- cybersecurity research
- data center
- datos
- DevNet
- DevNet Zone
- Digital Consumer
- Digital Manufacturing
- digital transformation
- Digital Vortex
- digitalización
- Digitalización Cisco
- digitalización educativa
- digitalización gubernamental
- digitalizar
- digitazliación
- dispositivos
- disrupción digital
- DNA
- DNA Advisor
- DNS
- DUO
- Ecosistema Cisco
- educación
- educación conectada
- educación siglo XXI
- educación superior
- educaciones
- el futuro del trabajo
- el nuevo webex
- empleados conectados
- empresa
- empresas
- Energy
- Enterprise
- Enterprise Networks
- Erik Wahl
- escritorio virtual
- estudiantes
- estudio
- estudios
- ETA
- Evento de TI
- Exploits Kits
- fábricas conectadas
- FEI
- firewall
- firewalls
- flexibilidad
- flexplan
- Frost Sullivan
- futuro del trabajo
- Gartner
- gobierno
- gobierno digital
- gobiernos
- Google Cloud
- Goverment summit
- hackers
- herramientas de colaboración
- hiperconvergencia
- home office
- Hyperflex
- IA
- IDC
- IdT
- IIoT
- industria
- Industria 4.0.
- Industrie 4.0
- Industry 4.0
- Industry Summits
- infografía
- informe anual de seguridad
- informe de Gartner 2019 “Critical Capabilities for Meeting Solutions
- Infraestructura centrada en aplicaciones (ACI)
- infraestructura inteligente
- ingenieros
- innovación
- integraciones
- Inteligencia Artificial
- intención
- Intent-Based Networking
- interconexión
- Internet
- internet d todo
- Internet de las cosas
- Internet de Todo
- Internet Industrial
- internet of everything
- internet of everything Forum
- IoE
- IoT
- IT
- IT Management
- Jeff Loucks
- jordi botifoll
- Kevin Bandy
- kits
- La Red Intuitiva
- latinoamerica
- licencia
- Licencias
- licencias Cisco
- Log4j
- lugar de trabajo remoto
- malware
- Manufactura
- Manufactura Digital
- Manufacturing
- Marketing
- Marketing Velocity
- MarketingVelocity
- Matriz liderazgo de cyberseguridad
- mclaren
- mensajería
- Mes
- México
- MFA
- Microsoft
- Miercom
- millennials
- Millie Bobby Brown
- MindMeld
- Minería
- Mining
- Misión Rescate
- mobile
- Mobile World Congress
- mobility
- month
- Moon Palace
- movilidad
- Mujeres en IT
- multicloud
- Multidominio
- multinube
- MWC17
- NAAS
- NB-09
- negocios
- NetFlow
- NetVet
- network
- Network as a Sensor
- Network Security
- networking
- Neutrino
- Next Generation Firewalls
- Nexus 9000 Switches
- NGFW
- NGIPS
- novedades de Webex
- nube
- Nuclear
- Nyetya
- obsolescencia tecnológica
- Oil & Gas
- Oil and Gas
- Open DNS
- OpenDNS
- opex
- organizaciones
- Packet Analyzer
- pandemia
- partner
- Partner Experience
- Pequeña y Mediana Empresa
- petróleo
- Petya
- Pishing
- políticas de seguridad
- power of 3
- productividad
- Programa IT Management
- Protección de las redes inalámbricas
- proveedor de servicios
- PYME
- pymes
- QoS
- Ransomware
- red
- red intuitiva
- redes
- redes definidas por el software
- redes empresariales
- redes inalambricas
- Redes Industriales
- Redes Sociales
- Remove term: internet of everything internet of things
- reporte anual de seguridad
- Reporte Anual Seguridad
- Reporte Medio Año Cisco
- Reporte Semestral de Ciberseguridad
- rescate digital
- retail
- reunion
- reuniones
- reuniones virtuales
- Ridley Scott
- robo de datos
- routing
- Salud
- sao paulo
- SASE
- SD WAN
- SDN
- sector publico
- Secure Access Service Edge
- secure X
- securex
- security
- Seguridad
- seguridad digital
- seguridad en la nube
- Seguridad Industrial
- seguridad informatica
- seguridad pública
- Seguridad web
- Service Provider
- service providers
- servicios
- servicios cisco
- Servicios tecnicos
- servidor
- Servidores
- silos operativos
- Smart City
- Smart Net Total Care
- SMB
- SNTC
- software
- software de seguridad
- Soluciones
- soluciones de colaboracion
- soluciones seguridad
- soporte
- SOS
- spam
- spamware
- Spark
- spyware
- SSID
- StealthWatch
- StealthWatch Learnig Network
- Steve Martino
- straming
- Streaming
- Summit Educación Superior
- suscripción
- switches
- switching
- Talos
- Talos Group
- Technical Seminars
- tecnologia
- tecnología digital
- Telepresencia
- telepresencial
- teletrabajar
- teletrabajo
- teletrabajo herramientas
- tendencias
- Tetration
- The Hub
- The Martian Movie
- The Network Intuitive
- Thousand Eyes
- TI
- tiempo de detección
- tiempo de evolucionar
- TME
- trabajador remoto
- trabajo
- trabajo a distancia
- trabajo en casa
- trabajo híbrido
- trabajo remoto
- trabajoremoto
- tráfico IP
- transformación
- transformación digital
- transmisión en vivo
- transporte
- UCS
- UCS mini
- umbrella
- universidad
- VDI
- video
- video conferencia
- videoconferencia
- videoconferencias
- videovigilancia
- virtual
- Virtualización
- virus
- Vmware
- VNI
- VoIP
- VPN
- vulnerabilidad cibernética
- WAN
- WannaCry
- web
- WebEx
- Webex Calling
- webex meetings
- Webex Share
- Webex Teams
- WebexOne
- WIFI
- Wireless
- World of Solutions
- xdr
- zero trust