Cuando hablamos de campañas de propagación de ransomware, malvertising o incluso envío masivo de spam, muchas veces mencionamos los kits de exploits (o exploit kits) y su buena parte de responsabilidad en conseguir que estas campañas maliciosas tengan éxito. La existencia de estas herramientas ha permitido automatizar desde hace años muchos procesos y facilitan a los ciberdelincuentes realizar sus delitos.
Auge y popularidad de los kits de exploits
Angler era un referente porque incorporaba los exploits más recientes para aprovechar vulnerabilidades
Entre todos los kits de exploits existentes, siempre han destacado unos cuantos. Algunos de ellos llevan bastante tiempo entre nosotros, mientras que otros son unos recién llegados que están ganando popularidad. Sin embargo, todas estas herramientas se compran y venden en foros underground desde precios que varían entre unos pocos cientos de dólares a otros que ya se mueven en varios miles de dólares.
Estos precios suelen variar dependiendo de si se incluyen más o menos funcionalidades, y es que los delincuentes han hecho de estas herramientas todo un sistema de negocio conocido también como “Malware as a service”. Esto significa que se pueden adquirir módulos adicionales o servicios que permiten a los clientes de estos packs criminales intentar evadir los sistemas de seguridad de sus víctimas. Incluso algunos de estos kits disponen de todo un servicio de soporte y asistencia que nada tiene que envidiar a muchas aplicaciones legítimas.
Entre los kits de exploits más conocidos y usados encontramos nombres como Angler, Neutrino, Nuclear, Magnitude o Rig, por mencionar solo alguno de ellos. No obstante, desde hace tiempo, Angler se había convertido en un referente por ser uno de los que incorporaba los exploits más recientes para aprovechar vulnerabilidades de todo tipo y también por toda la infraestructura delictiva que lo apoyaba.
Angler desaparece de la escena
Sin embargo, en los últimos días parece que ha habido cambios importantes, algo que todo un referente en la investigación de este mundo cibercriminal y sus herramientas como es Kafeine ha publicado recientemente en su blog. Al parecer, Angler ha desaparecido casi por completo de la escena desde el pasado 7 de junio, según se observa al analizar las campañas de malware que se han estado realizando durante los últimos días.
Según informa este investigador, durante la semana pasada ha ido observando cómo varios grupos de ciberdelincuentes iban migrando sus campañas desde Angler a otros kits de exploits, incluido alguno que había permanecido leal a Angler desde hacía años. Tras su sorpresa inicial, este investigador comenzó a buscar referencias que apuntasen a Angler, encontrando muy pocas y datando la última de la noche del 6 al 7 de junio.
A partir de ese momento, otros kits de exploits como Rig o Neutrino tomaron el puesto de Angler, desde donde continuaron con sus actividades maliciosas que incluyen la propagación de diversas variantes de ransomware.
¿Cuál es el motivo?
Cuando se produce un suceso de este tipo es bastante frecuente que se dispare la rumorología, más aun cuando esta desaparición se ha producido de forma tan repentina. Algunos expertos apuntan a la detención de 50 miembros de una organización criminal rusa que utilizaba el malware Lurk para conseguir acceso remoto al ordenador de sus víctimas.
varios grupos de ciberdelincuentes migran sus campañas desde Angler a otros kits de exploits
De hecho Kafeine apunta a la estrecha relación que tenía el malware Lurk con Angler, puesto que el primero utilizó módulos del segundo entre 2012 y principios de 2016. Es posible que con estas detenciones haya cierta precaución por parte de los delincuentes encargados de gestionar Angler y que hayan preferido echar el cierre antes de ser los siguientes en ser detenidos.
Parecería que algo se está moviendo en el mundo del cibercrimen que preocupa a aquellos actores que destacan sobre el resto. Hace unas semanas vimos cómo los delincuentes detrás del ransomware Teslacrypt abandonaban el proyecto a pesar de ser una de las variantes con mayor actividad de los últimos meses. Además, esta imprevista desaparición ha provocado que otros kits de exploits como Neutrino hayan aumentado sus precios debido a la desaparición de uno de sus mayores competidores.
Conclusión
Una noticia como esta nos sirve para demostrar la rapidez con la que se mueve el mundo del cibercrimen. Una organización como la que había detrás del kit de exploits Angler puede desaparecer en apenas unos días sin ningún motivo aparente. Por desgracia, hay otros grupos que están dispuestos a ocupar su lugar y por eso se hace necesaria la lucha continua contra este tipo de bandas criminales que realizan empresas de seguridad como ESET y Fuerzas y Cuerpos de Seguridad del Estado.