Alors que le groupe de cybercriminels russes baptisé Lurk a été démantelé, le réseau d’activité du malware Angler Exploit Kit a drastiquement diminué et tend à disparaître. Une victoire pour Kaspersky.
Karspersky a publié sur son blog le compte rendu d’une enquête des autorités russes à laquelle il a participé durant plus de 5 ans. Cette dernière a permis l’arrestation en juin d’un groupe de 50 cybercriminels, baptisés Lurk, qui opéraient notamment à la tête du redoutable Angler Exploit Kit.
Le kit d’exploitation pirate Angler avait une énorme côte de popularité car très complet et efficace pur infecter les victimes. Ce genre de couteau suisse du cybercriminel est en effet très prisé sur le marché noir, embarquant souvent une importante quantité de vulnérabilité 0-Day accompagnées de leur exploits.
Non seulement Angler était simple inutilisation pour les néophytes, mais en plus très évolutif et mis à jour régulièrement pour parfaire son efficacité. Angler Exploit Kit dominait très largement le marché de mai 2015 jusqu’à juin 2016, date à laquelle l’outil a brusquement sombré…
Le rapprochement entre cette chute brutale d’Angler et l’immense coup de filet des autorités russes ayant permis l’arrestation de 50 cybercriminels n’a pas tardé à être fait par de nombreux chercheurs en sécurité. C’est d’ailleurs le point de vue de Ruslan Stoyanov, dirigeant de l’équipe d’investigation de Kaspersky. Pour lui, cela ne fait aucun doute que le groupe Lurk avait la main sur le redoutable outil de piratage.
Le groupe Lurk s’est fait connaître à ses débuts par un trojan bancaire sophistiqué, modulaire et très discret, visant principalement les logiciels bancaires afin de procéder à des virements frauduleux. L’ensemble de la chaîne du malware était géré avec des mains de maître par le groupe, à la manière d’une entreprise : conception, diffusion et monétisation. Leur business a explosé à partir du moment où Lurk a décidé de créer une plateforme permettant de louer Angler Kit et ainsi, de multiplier son usage et les gains. Kaspersky a publié un schéma précis de l’organisation cybercriminelle Lurk :
Le business autour de la vente d’Angler Kit en SaaS remonte à 2013 et la popularité de ce dernier a, dès lors, drastiquement augmentée, surtout après l’arrestation des auteurs de Blackhole courant 2013 : cela a alors donné à Lurk le champ libre pour dominer le marché des kits d’exploitation pirates. Les locataires du kit Angler s’en servait alors pour diffuser massivement des malwares de tout type, allant du crypto-ransomware dernier cri au trojan bancaire.
Mais tout est brutalement tombé en juin 2016, juste après l’arrestation du groupe Lurk, et Angler Exploit Kit a été mis hors d’état de nuire et rapidement remplacé par un autre kit. Selon les données récentes compilées par la société Trend Micro, ça serait maintenant Neutrino Exploit Kit qui l’aurait remplacé dans le cœur des cybercriminels…
Source : ZDNet
Les commentaires sont fermés.