Набор эксплоитов Angler прекратил работу

Исследователи информационной безопасности утверждают, что наиболее популярный среди киберпреступников набор эксплоитов Angler, видимо, прекратил свою работу. Начался массовый переход организаторов крупных киберкампаний на такие наборы эксплоитов, как Neutrino, RIG и Sundown.

Набор эксплоитов Angler функционирует с 2013 года. Данный инструмент осуществляет поиск и использование уязвимостей в Flash, HTML, Java, JavaScript, Silverlight и множестве других сервисов и приложений. При этом Angler стремится избежать обнаружения антивирусом.

По словам специалиста из Malwarebytes Жерома Сегуры, с Angler что-то случилось, вследствие чего киберпреступники в экстренном порядке вносят изменения в механизмы распространения вредоносных программ и начинают использовать Neutrino.

На прошлой неделе произошел существенный рост активности Neutrino. Данный набор эксплоитов вместо Angler теперь осуществляет распространение вымогательской программы CryptXXX и применяется для киберкампании EITest. Кроме того, по словам Сегуры, крупномасштабная киберкампания по распространению вредоносной рекламы, обнаруженная Malwarebytes в мае этого года, все еще активна, но хакеры и в данном случае перешли с Angler на Neutrino. Как утверждает эксперт, даже те, кто никогда не применял ничего, кроме Angler, тоже начали пользоваться другими решениями.

Слова Сегуры подтверждают независимые эксперты Бред Дункан и Kaffeine, также заметившие прекращение активности Angler. По словам Kaffeine, набор эксплоитов перестал использоваться киберпреступниками 7 июня.

Как утверждает Kaffeine, у Angler и раньше были периоды неактивности, но зачастую они были связаны с отпуском операторов или внесением серьезных изменений на серверах. Однако теперь даже хакерская группа GooNky, до сих пор всегда использовавшая исключительно Angler и терпеливо пережидавшая все периоды неактивности, стала пользоваться Neutrino.

Также Kaffeine обратил внимание на недавнее двукратное увеличение стоимости недельной подписки на Neutrino, которая теперь составляет 1500 долларов. Вероятно, приток новых покупателей не стал неожиданностью для разработчиков Neutrino, которые надеются как можно больше заработать на бывших пользователях Angler.

Эксперты связывают прекращение работы Angler с недавней спецоперацией сотрудников МВД и ФСБ России, которые при поддержке специалистов «Лаборатории Касперского» и Сбербанка арестовали свыше 50 человек из 15 субъектов РФ. Представители правоохранительных органов утверждают, что все задержанные являлись разработчиками троянской программы Lurk, с помощью которой они смогли в течение последних 5 лет снять со счетов российских банков свыше 3 миллиардов рублей.

Исследователи предполагают, что создатели Lurk, вероятно, могли иметь отношение к разработке набора эксплоитов, поскольку данная банковская троянская программа на протяжении долгого времени распространялась с помощью Angler.