Netwerkfabrikant Cisco heeft een omvangrijk exploitkit-netwerk verstoord waarmee criminelen probeerden om internetgebruikers met ransomware en andere malware te infecteren. Hoeveel mensen er slachtoffer zijn geworden en hoeveel criminelen aan de ransomware hebben verdiend is onbekend.

De actie van Cisco was gericht tegen de Angler-exploitkit, die door cybercriminelen wordt gebruikt om internetgebruikers via kwetsbaarheden in Adobe Flash Player, Silverlight en Internet Explorer met malware te infecteren. Onderzoekers van Cisco ontdekten dat de Angler-exploitkit een groot aantal proxyservers gebruikte, die voornamelijk bij de provider Limestone Networks waren ondergebracht. Uit het onderzoek kwam naar voren dat de Angler-exploitkit door één partij uitgebreid werd gebruikt. Deze partij was voor 50% van alle activiteit van de Angler-exploit verantwoordelijk en probeerde dagelijks 90.000 mensen via de eerder genoemde beveiligingslekken te infecteren.

Infecties kunnen alleen plaatsvinden als gebruikers kwetsbare software gebruiken, bijvoorbeeld omdat ze geen beveiligingsupdates hebben geïnstalleerd. Door met Limestone samen te werken kon er uitgebreide informatie over de Angler-exploitkit worden verzameld. Uiteindelijk werden alle hostingproviders waar de proxyservers stonden ingelicht, die de servers vervolgens uitschakelden. Daardoor hadden de cybercriminelen geen toegang meer tot de Angler-exploitkit.

Goochelen met cijfers

Cisco stelt in de aankondiging over de operatie dat cybercriminelen via de exploitkit 60 miljoen dollar per jaar aan ransomware verdienden. Het is belangrijk om te vermelden dat dit een aanname is en geen vastgesteld bedrag. Er is geen hard bewijs hoeveel de criminelen via hun ransomware hebben verdiend. De schatting van Cisco is gebaseerd op verschillende aannames. Zo wordt er gewezen naar eerder onderzoek waaruit zou blijken dat 40% van de internetgebruikers die via de Angler-exploitkit wordt aangevallen ook daadwerkelijk besmet raakt.

Verder zou in 62% van de infecties via Angler ransomware worden geïnstalleerd. Daarnaast zou het gemiddelde ransomwarebedrag 300 dollar bedragen. Volgens cijfers van Symantec zou 2,9% van de slachtoffers ook daadwerkelijk betalen. Door al die zaken met elkaar te vermenigvuldigen komt Cisco uiteindelijk op een bedrag van 60 miljoen dollar uit. Zoals gezegd is dit een onbevestigd bedrag gebaseerd op bepaalde aannames.

Zo stelden onderzoekers van Dell SecureWorks dat 0,4% van de ransomware-slachtoffers het gevraagde losgeld betaalt. Uit ander onderzoek komt een percentage van 0,27% naar voren. Als Cisco met deze percentages zou hebben gerekend zou het bedrag veel lager zijn uitgevallen, wat ook geldt voor fluctuaties van het aantal succesvolle infecties en het aantal ransomware-installaties.