Negli scorsi anni gli exploit kit hanno comportato svariati grattacapi per tecnici e vittime. Ma già nell'Estate del 2016 la parabola degli exploit kit, capitanati appunto dal celeberrimo RIG, si è fatta discendente, fino al punto che nel 2018 RIG ha smesso di distribuire qualsiasi ceppo di ransomware, preferendo i miner di criptovaluta o i trojan infostealer per rubare informazioni. Queste le conclusioni di Brad Duncan, ricercatore di sicurezza di Palo Alto Network.
Il mercato degli exploit è sempre più in crisi
Duncan è stato tra i primi a denunciare questo importante cambiamento nel panorama delle minacce informatiche, notando una vera e propria contrazione del "mercato" degli exploit kit (applicazioni web-based utili a facilitare la diffusione di codice dannoso verso browser vulnerabili e non aggiornati). Duncan aveva denunciato il declino di questo mercato già nel 2016: tutto il 2017 gli ha
accordato ragione, dato che non solo non è emersa nessuna operazione in grande stile, ma anche che i due principali attori dello scorso anno, Sundown e Neutrino, sono semplicemente scomparsi.
RIG ha continuato a dominare le individuazioni per le attività di exploit, ma il numero di indivduazioni è una frazione dei numeri che un tempo RIG registrava: Duncan conferma un pessaggio da 812 campagne mensili nel gennaio 2017 alle solo 65 nel Gennaio 2018.
I motivi di tale declino sono svariati, ad esempio i browser attuali sono molto più difficili da attaccare, l'uso di Flash è andato riducendosi sempre più dopo che i browser più importanti hanno cominciato a privilegiare l'HTML5 e vi sono state svariate operazioni coordinate per mettere fuori gioco gli exploit.
Lo stato dell'arte
Perfino i cyber criminali hanno notato i tempi difficili che gli exploit stanno attraversando: molti infatti sono passati allo spam o all'ingegneria sociale (spear phishing e truffe tramite falsi supporti tecnici). Al momento gli exploit kit sono in grosso affanno e probabilmente scompariranno: resiste una "clientela fidelizzata", ma che è verosimile pensare si ridurrà drasticamente dato che il potenziale infettivo degli exploit è drasticamente ridotto. Ecco una breve panoramica, sempre offerta da Duncan.
- Campagna Afraidgate: RIG fu usato per distribuire il ransomware Locky.
- Campagna EITest: RIG fu usato per diffondere CryptoMix, CryptoShield e Spora.
- Campagna Darkleech: RIG fu usato per distribuire Cerber.
Nessuno di questi ransomware è stato distribuito nel 2018 usando RIG. Cerber, CryptoMix, CryptoShield, Locky e Spora non sono più attivi. Le campagne stesse sono andate ad esaurirsi.
Nel Gennaio 2018 RIG è stato usato in 3 differenti campagne:
Nel Gennaio 2018 RIG è stato usato in 3 differenti campagne:
1. Fobos, per distribuire il trojan Bunitu.
2. Ngay, per distribuire miner di bitcoin e malware per il furto di dati e informazioni.
3. Seamless per distribuire l'infostealer Ramnit.
Sono stati individuati alcuni exploit non flash per tentare di alimentare una nuova generazione di exploit kit, ma con scarso successo. Insomma questa tecnica di attacco andrà molto probabilmente a scomparire grazie ai progressi della ricerca sulla cybersecurity.
Nessun commento:
Posta un commento