Criminelen stappen over van Angler-exploitkit naar Neutrino

Beveiligingsonderzoeker Kafeine van het blog 'Malware don't need Coffee' stelt vast dat infecties door de Angler-exploitkit een week geleden voor het laatst hebben plaatsgevonden. De Neutrino-kit heeft daarentegen aan populariteit gewonnen.

Angler exploitkitZo schrijft Kafeine dat bijvoorbeeld de SadClowns-groep nu gebruikmaakt van Neutrino in plaats van Angler. Ook andere onderzoekers zien een migratie van grote Angler-gebruikers naar die exploitkit, zo meldt Softpedia. Naast Neutrino zijn ook RIG en Sundown alternatieven voor die gebruikers. De Neutrino-kit infecteert slachtoffers vooral met ransomware, voornamelijk de TeslaCrypt-vervanger CryptXXX of Cerber.

Kafeine geeft aan dat er eerder periodes waren waarin de activiteit van exploitkits omlaag ging, bijvoorbeeld als de groepen erachter op vakantie gaan of als er sprake is van een verhuizing van infrastructuur. Het lijkt er echter op dat dit nu niet gebeurt en dat er een andere reden achter de gestaakte activiteit zit. De onderzoeker geeft aan dat er een mogelijk verband is met de recente arrestatie van vijftig hackers in Rusland.

Als gevolg van het verdwijnen van Angler heeft Neutrino zijn prijzen verhoogd, zo is de prijs per week verdubbeld naar 1500 dollar, omgerekend 1330 euro. Hetzelfde gedrag was te zien na de arrestatie van de auteur van de BlackHole-exploitkit in 2013.

Exploitkits maken gebruik van kwetsbaarheden om slachtoffers te infecteren, bijvoorbeeld in software als Flash en Silverlight. Tegenwoordig is de payload bij dergelijk infecties in het overgrote deel van de gevallen ransomware. De laatste ontwikkeling rond Angler werd vorige week door beveiligingsbedrijf FireEye opgemerkt, toen het vaststelde dat die in staat was om de Windows-beveiliging EMET te omzeilen op systemen met Windows 7. Angler wordt gezien als de grootste en meest geavanceerde exploitkit.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 13-06-2016 13:3420

13-06-2016 • 13:34

20 Linkedin

Lees meer

Kaspersky brengt decryptor uit voor nieuwste versie CryptXXX-ransomware Nieuws van 20 december 2016
Onderzoekers vinden exploitkit die malware verspreidt via pixels in banners Nieuws van 7 december 2016
Beveiligingsbedrijf stelt decryptietool voor Cerber-ransomware beschikbaar Nieuws van 17 augustus 2016
PowerWare-ransomware doet zich voor als Locky-variant Nieuws van 22 juli 2016
Beveiligingsbedrijf beoordeelt ransomware op 'klantvriendelijkheid' .Geek van 18 juli 2016
CPB: overheid moet een leidende rol spelen bij encryptie en authenticatie Nieuws van 6 juli 2016
'Enkele grote malwarevarianten vertonen minder activiteit na arrestaties' Nieuws van 17 juni 2016
Russische veiligheidsdienst arresteert 50 hackers voor stelen 1,7 miljard roebel Nieuws van 1 juni 2016
'Angler-exploitkit is de meest geavanceerde en zal dat nog een tijd blijven' Nieuws van 27 mei 2016
Campagne met kwaadaardige advertenties treft grote Nederlandse sites Nieuws van 11 april 2016
Malvertising treft bezoekers grote nieuwssites Nieuws van 16 maart 2016
Opnieuw publiceren hackers kwetsbaarheid in Flash Nieuws van 11 juli 2015
Aanvallers misbruiken ongepatcht Flash-lek van Hacking Team - update Nieuws van 8 juli 2015
SurfRight: ook andere nieuwssites serveerden malware via advertenties Nieuws van 16 juni 2015
Aanvallers misbruiken zero-day-kwetsbaarheid in Flash Nieuws van 22 januari 2015
Auteur BlackHole-exploitkit is opgepakt Nieuws van 8 oktober 2013
Meer producten en artikelen
Netwerk en systeembeheer Security

Reacties (20)

-Moderatie-faq
20
20
13
1
0
6
Wijzig sortering
Treadstone
13 juni 2016 14:31
Als je een beetje ( wekelijks) https://ransomwaretracker.abuse.ch/tracker/ bijhoudt en deze opvoert in je firewall lijst dan kan je een groot deel voorkomen en ben je niet afhankelijk van een virusscanner.
Voor elke dag zal je waarschijnlijk een scriptje moeten maken en deze elke dag weer importeren in je firewall(s).

[Reactie gewijzigd door Treadstone op 13 juni 2016 14:33]

Black Piet
@Treadstone13 juni 2016 18:34
Mooie site! Wist niet dat deze bestond.

Wat mij wel opvalt is dat er veel accounts bij GODADDY.COM zijn aangemaakt en ook veel sites te vinden zijn in Polen, Bulgarije en Rusland. Zou een geoblock niet makkelijker zijn. Ik ken niemand die op Russische, Bulgaars of Poolse sites aan het browsen is.

Ben nu alleen even benieuwd hoe ik een script kan automatiseren van deze site.. :+

[Reactie gewijzigd door Black Piet op 13 juni 2016 18:34]

Treadstone
@Black Piet14 juni 2016 00:39
Je zou elke dag een wget script kunnen laten draaien om bijvoorbeeld : https://ransomwaretracker.abuse.ch/downloads/TC_C2_URLBL.txt binnen te halen.

De blocklists zijn statisch, dus je kan ze als import op je systeem binnenhalen. Daarna zal je ze afhankelijk van je systeem moeten opnemen in je firewall.
https://ransomwaretracker.abuse.ch/blocklist/
vanaalten
@Treadstone14 juni 2016 08:25
Hoe zou je dat aanpakken?
Die lijst die je noemt is een lijst van remote files, bijvoorbeeld
http://site7.aiglecom.com/_set.php
http://gmtuae.com/phpinc.php
http://faenzabike.makkie....g/layouts/fields/_ini.php
http://bestinghana.com/wp-content/plugins/_ini.php
.... dan die parsen en de TLD toevoegen aan je lokale DNS-server (en 127.0.0.1 terug laten geven op dat domein)?

En de blocklists met IP-adressen aan iptables voeren?
Treadstone
@vanaalten14 juni 2016 09:44
Hierbij wat docjes en trucs om dit voor elkaar te krijgen op Windows.

http://serverfault.com/qu...-all-ips-from-a-text-file
http://cyber-defense.sans...-addresses-network-ranges
Taz86
13 juni 2016 13:57
in word bestanden kun je ervoor kiezen automatisch uitvoeren macro's uit te schakelen(gpo) en applocker te gebruiken zodat /tmp /download mappen niets mogen uitvoeren.
spNk
@Taz8613 juni 2016 14:13
Zo ver ik weet zijn macro's standaard al uitgeschakeld sinds Office 2007.
Taz86
@spNk13 juni 2016 14:15
correct, helaas kom ik nog steeds bedrijven tegen die leunen op 2003 :o
Annihlator
@spNk13 juni 2016 14:33
Daarbovenop; het automatisch inschakelen van macro's levert per-bestand meer geneuzel op om een bestand vooraf degelijk pogen door te lichten dan de hoeveelheid handelingen om ze per-bestand alsnog in te schakelen.
r2504
@Taz8613 juni 2016 14:33
Als je natuurlijk veel gebruik maakt van macro's is het vervelend deze uit te schakelen.
crazyx
13 juni 2016 13:38
Waarom hebben antivirus bedrijven geen abonnementje lopen bij dit soort praktijken?

Het lijkt me dat je dan alles toch een heel stuk sneller kan beveiligen?
OrangeTux
@crazyx13 juni 2016 13:40
Wie zegt dat dit niet gebeurt?
Ome Ernst
@OrangeTux13 juni 2016 13:42
Inderdaad. Al zal men dat zeker niet aan de grote klok hangen.
Makers van dit soort malware weten heus wel dat dat gebeurt.

/edit : taalfout

[Reactie gewijzigd door Ome Ernst op 13 juni 2016 13:43]

R503B
@Ome Ernst13 juni 2016 15:29
Heb me ook al jaren afgevraagt of ze zelf ook geen malware maken. ;)
Ome Ernst
@R503B13 juni 2016 19:40
Ik weet het niet, want daarvoor weet ik te weinig van deze materie, maar ik sluit het zeker niet uit. Enig obstakel zou juridisch kunnen zijn, mocht je daar in dit geval om
geven als malware bestrijders.

Als ik voor de rest kijk naar hoe het bijvoorbeeld bij tanks ging en gaat dan is er op
elke uitvinding die er op komt, een tegen uitvinding die dat probeert te elimineren. Ik sluit niet uit dat dat bij malware ook zo zou kunnen zijn.
robvanwijk
@R503B13 juni 2016 22:03
Hier is het antwoord van Mikko Hyppönen op preciess die vraag:
https://www.youtube.com/watch?v=tUotmeaZayE (timer: 55:15 t/m 57:30)

Voor de goede orde: ik vraag je niet om hem te geloven op zijn woord (als je serieus denkt dat antivirus-bedrijven dit zouden doen, dan ga je hem ook niet vertrouwen natuurlijk), maar om eens na te denken over zijn redenatie.
Het is nagenoeg onmogelijk om te bewijzen dat iemand iets niet gedaan heeft, maar als er geen schijntje verdenking is, slechts een zeer wankele reden waarom ze het zouden willen doen en een gigantisch goede reden om het niet te doen (het is een beetje als Russisch Roulette spelen met het voortbestaan van je bedrijf), dan ga ik er voorlopig even vanuit dat het niet gebeurt.
SolidShadow
13 juni 2016 13:51
Het Neutrino exploidkit is volgens Symantec verantwoordelijk voor onder andere de toenemende distributie van locky ransomware. Deze worden veelal verspreid in oude MsOffice extenties als .doc, .xls etc. Hier hebben we er voor gekozen om deze extensies te filteren richting de spambox, en de ITérs de bestanden door te laten zetten. Ook worden dan tegelijk de gebruikers opgevoed er een .docx van te maken.
Boss
13 juni 2016 14:07
Linkje in het artikel naar de webshop van Neutrino zou informatief / handig zijn :)
edit:

Ik begrijp dat er niet naar gelink mag worden, maar bij de meeste artikelen staan wel genoeg links en verwijzingen om de bronnen te controleren, dat kan nu niet. Ik zie dat de bedragen zijn overgenomen uit het originele bericht maar daar is ook geen bron te vinden.

[Reactie gewijzigd door Boss op 13 juni 2016 14:43]

Mopperman
@Boss13 juni 2016 14:16
Linken naar het darknet is niet toegestaan op tweakers zover ik weet.
Treadstone
14 juni 2016 09:43
Hierbij wat docjes en trucs om dit voor elkaar te krijgen op Windows.

http://serverfault.com/qu...-all-ips-from-a-text-file
http://cyber-defense.sans...-addresses-network-ranges

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee