• CISCO Desmonta Campanha de Ransomware que Arrecadou 30 Milhões de Dólares Anuais

    Publicado em 09-10-2015 23:00
    0 Comentários Comentários
    Pesquisadores da Cisco, com a ajuda de Level 3 Threat Research Labs and OpenDNS, conseguiram dar um golpe considerável contra vendedores de ransomware que utilizaram o conhecido e perigoso Angler Kit Exploit, para entregar malware para as suas infelizes vítimas. De acordo com o OpenDNS 'Stephen Lynch, a Talos Research Group da Cisco conseguiu desbaratar as operações de um cybercriminosos responsável por até 50 por cento da atividade do software malicioso de uma campanha de ransomware, que gerou mais de US$ 30 milhões anualmente. Mas, como eles fizeram isso? Bem, eles notaram que um grande número de servidores proxy utilizados pelos Angler foram localizados em servidores de provedores de serviços Limestone Networks. Nesse contexto, eles trabalharam com esse prestador de serviços para obter imagens de disco ao vivo dos servidores Angler, o que permitiu a visão sem precedentes sobre a forma como a campanha de ransomware foi executada, além de ter acesso ao funcionamento da infra-estrutura do das ameaças utilizadas, as alterações feitas para o kit exploit e, o mais importante, saber quais as técnicas que eles empregam para manter o comando e controle da infra-estrutura escondida, a fim de evitar "takedowns".


    Angler é realmente construído a partir de uma configuração de proxy/ servidor. Há um único exploit server que é responsável pelo atendimento da atividade maliciosa, o que se dá através de múltiplos servidores proxy. O servidor proxy é o sistema pelo qual os usuários se comunicam, permitindo que o atacante possa fazer alterações rapidamente, enquanto o exploit server ainda estiver protegido. Isso tudo levando em conta a sua identificação e seu nível de exposição. Além disso, há um servidor de monitoramento que está realizando exames de saúde, coleta de informações sobre os guests que estão sendo alvo de exploits, e que pode também apagar remotamente os arquivos de log depois destes terem sido colhidos. Além do mais, este servidor revelou o escopo e a escala da campanha que está em curso, o que facilitou muito o trabalho dos profissionais de segurança envolvidos.


    Saiba Mais:

    [1] Talos Community http://talosintel.com/angler-exposed/
    + Enviar Comentário