Het Amerikaanse hostingbedrijf GoDaddy en het Amerikaanse beveiligingsbedrijf RSA hebben in een gezamenlijke operatie de operationele infrastructuur van de RIG-exploitkit verstoord. De RIG-exploitkit maakt gebruik van oude kwetsbaarheden in Internet Explorer en Adobe Flash Player om internetgebruikers ongemerkt met malware te infecteren, zoals ransomware.

Begin dit jaar werden op verschillende pornosites nog advertenties ontdekt die bezoekers ongemerkt naar een pagina met de RIG-exploitkit doorstuurden. Gebruikers die hun software up-to-date houden of geen IE/Flash Player gebruiken liepen hierbij geen risico. De RIG-exploitkit maakt gebruik van kwetsbaarheden in IE en Flash Player die in 2014, 2015 en 2016 werden gepatcht.

Tijdens het onderzoek naar de RIG-exploitkit ontdekten onderzoekers duizenden "schaduwdomeinen" die werden gebruikt. Het ging om subdomeinen van domeinen die door legitieme gebruikers en organisaties waren geregistreerd. De aanvallers hadden via phishingaanvallen op GoDaddy-klanten inloggegevens bemachtigd om subdomeinen onder deze domeinen aan te maken. Deze subdomeinen werden vervolgens voor de RIG-exploitkit gebruikt.

Als onderdeel van de operatie zijn de meer dan 2200 ontdekte schaduwdomeinen verwijderd. Daarnaast heeft GoDaddy de ip-adressen die als bestemming door de RIG-exploitkit werden gebruikt op een blacklist gezet en zijn alle gehackte klantenaccounts vergrendeld en vereisen een nieuw wachtwoord om misbruik tegen te gaan. In welke mate de operatie impact op de exploitkit heeft gehad kan RSA niet zeggen.