Sécurité : des chercheurs de Cisco ralentissent le kit Angler
Une équipe de sécurité de Cisco a trouvé un moyen de freiner l’expansion du kit d’exploit Angler. Ce dernier est à l’origine de plusieurs campagnes de ransomware dans le monde.
Talos Research Group est une entité de Cisco dédiée à la sécurité. Elle regroupe des chercheurs qui viennent de porter un coup au kit d’exploits nommé Angler et notamment à une campagne de ransomware (combinant CryptoWall and TeslaCrypt).
Cette trousse à outils est devenue, en l’espace de quelques années, une référence pour les cybercriminels. SophosLab a récemment établi un palmarès où Angler détient 82,2% de part de marché sur ce secteur des outils de piratage. Angler intègre des failles zero day, des malwares, des techniques d’attaques, etc. Il a surtout réussi à prendre la place laissée vacante par BlackHole dont le fondateur a été arrêté en 2013.
Débrancher des serveurs proxy
Dans son enquête l’équipe de Cisco a découvert que les serveurs proxy utilisés par Angler provenaient de serveurs de Limestone Networks, un fournisseur de Dallas. Ces serveurs représentaient jusqu’à 50% de l’activité du kit Angler, ciblant 90 000 victimes par jour pour un revenu annuel estimé à 30 millions de dollars. En extrapolant, cela signifie qu’Angler génére chaque année 60 millions de dollars de revenus.
Après la découverte des serveurs proxy, Limestone Networks les a débranché et remis les données aux chercheurs de Cisco. Ils ont travaillé en collaboration avec l’opérateur Level3 pour récupérer les protocoles d’authentification et détecter les terminaux infectés au sein des entreprises. Les données issues des serveurs proxy donnent une cartographie et le modus operandi d’Angler. Des informations qui permettent de ralentir la propagation des menaces issues de ce kit, mais pas de le supprimer définitivement.
A lire aussi :
