Cisco met fin à une opération de ransomware qui a rapporté 30 millions de dollars aux hackers

Les chercheurs de Cisco stoppent une opération de ransomware générant 30 millions de dollars de revenus pour les hackers

Des chercheurs de la société de cybersécurité Cisco ont découvert qu’un groupe de hackers génère environ 30 millions de dollars par an grâce à son opération criminelle en ligne. Selon les chercheurs, ils ont découvert une vaste campagne de ransomware liée à l’Angler Exploit Kit, qui est l’un des kits d’exploitation les plus efficaces disponibles pour pirater des ordinateurs sur le marché souterrain.

L’outil est vendu à des gangs de cybercriminalité, qui tirent parti des exploits d’Angler principalement pour les navigateurs et les plugins de navigateur. Il est destiné à quiconque possédant des logiciels malveillants, tels que des ransomwares ou des voleurs de données bancaires, qui n’ont pas le temps ou les compétences pour développer et maintenir leur propre base de données d’exploits logiciels.

Les chercheurs ont remarqué qu’un pourcentage élevé d’utilisateurs infectés se connectait à des serveurs appartenant au fournisseur d’hébergement Limestone Networks. Après avoir approfondi leurs recherches, ils ont estimé qu’un seul hacker ou un groupe de hackers cible jusqu’à 90 000 utilisateurs finaux par jour.

Sur la base d’une fenêtre de 13 heures sur un seul serveur, les conclusions tirées par Cisco en observant 90 000 adresses IP uniques par jour qui étaient servies au moins une des pages d’attaque de l’Angler EK appartenant au fournisseur d’hébergement Limestone Networks. Ses observations semblent également concerner un client qui utilisait Angler plutôt que les opérateurs de l’EK eux-mêmes.
« En analysant le comportement d’un seul nœud livrant Angler ainsi qu’un serveur surveillant ces systèmes, Talos peut affirmer de manière fiable qu’un acteur de menace était responsable de jusqu’à la moitié de l’activité d’Angler que nous avons observée dans le monde. Ce réseau malveillant génère environ plus de 30 millions de dollars par an », a déclaré Cisco.

Cisco s’est associé à Level 3 Threat Research Labs, OpenDNS et à la société d’hébergement Limestone Networks pour son enquête.

Limestone Networks a fourni l’accès aux serveurs utilisés par Angler, révélant comment le groupe parvient à se distancier des infections réelles des dispositifs des utilisateurs finaux.
« Cisco a déterminé qu’un nombre excessif de serveurs proxy utilisés par Angler étaient situés sur des serveurs du fournisseur de services Limestone Networks, avec l’acteur de menace principal responsable de jusqu’à 50 % de l’activité de l’Angler Exploit Kit », a noté Cisco.

Après avoir enquêté sur l’opération, selon les estimations faites par les chercheurs de Cisco, la durée de vie d’un serveur d’exploitation Angler est d’un jour et qu’environ 3600 utilisateurs sont compromis par des ransomwares chaque jour. De plus, ils ont découvert que 3 % des cibles ont payé la demande de rançon moyenne de 300 $ aux hackers. En conséquence, ce hacker particulier ou ce groupe de hackers génère plus de 34 millions de dollars de revenus annuels, estiment les chercheurs de Cisco.

Veuillez noter que le chiffre estimé par les chercheurs de Cisco, suivant les fichiers journaux, est récupéré d’un seul serveur. Le nombre réel pourrait être encore plus élevé que 30 millions de dollars par an.

Les chercheurs de l’unité de sécurité Talos de Cisco Systems ont noté que « en utilisant des mathématiques simples, on peut facilement déterminer que cet adversaire particulier pourrait gagner potentiellement 3 millions de dollars par mois », mais « il est difficile d’être 100 % précis avec ces chiffres ».

Le fournisseur d’hébergement affecté, Limestone Networks, a depuis fermé les serveurs malveillants après que les chercheurs de Cisco les ont contactés.

Identifié pour la première fois fin 2013, l’Angler Exploit Kit est devenu l’un des kits d’exploitation les plus populaires sur le marché. Il dispose essentiellement d’un certain nombre d’outils de piratage qui exploitent les vulnérabilités dans Java, Flash et d’autres plugins de navigateur pour pénétrer dans les systèmes des victimes.

Les cybercriminels utilisent désormais des ransomwares dans leur kit qui produisent plus d’argent par attaque.

« C’est un coup dur pour l’économie des hackers émergente », ont déclaré les chercheurs, « où les ransomwares et la vente sur le marché noir d’IP volées, d’informations de cartes de crédit et d’informations personnellement identifiables (PII) génèrent des centaines de millions de dollars par an. »

Points à connaître pour se protéger contre les ransomwares

Vous pouvez protéger votre ordinateur contre les ransomwares et autres menaces de logiciels malveillants en gardant à l’esprit les points suivants :

• Assurez-vous que tous les logiciels de votre ordinateur sont à jour.
• Assurez-vous que la mise à jour automatique est activée pour obtenir toutes les dernières mises à jour de sécurité.
• Utilisez des connexions sécurisées pour les transactions sensibles.
• Utilisez un clavier virtuel pour la banque en ligne.
• Utilisez des mots de passe alphanumériques forts et des symboles.
• N’ouvrez aucune pièce jointe à moins que vous ne connaissiez l’expéditeur et la raison pour laquelle il l’envoie.