De RIG-exploitkit was in 2016 en begin 2017 een favoriet middel van cybercriminelen om internetgebruikers ongemerkt met malware te infecteren, maar sinds april vorig jaar is de dreiging ervan sterk afgenomen, zo blijkt uit onderzoek van securitybedrijf Palo Alto Networks. Exploitkits maken gebruik van kwetsbaarheden in browsers en browserplug-ins die niet door gebruikers zijn gepatcht om zonder enige interactie malware te installeren. Alleen het bezoeken van een gehackte website of het te zien krijgen van een besmette advertentie is voldoende.

De RIG-exploitkit maakt gebruik van oude kwetsbaarheden in Adobe Flash Player en Internet Explorer. Het marktaandeel van Internet Explorer is de afgelopen jaren echter sterk afgenomen en moderne browsers blokkeren standaard Adobe Flash Player. Daardoor is het voor cybercriminelen veel lastiger geworden om internetgebruikers via exploitkits te infecteren. Iets waar ook de RIG-exploitkit mee te maken heeft. In januari 2017 zag Palo Alto Networks nog 812 hits op RIG-gerelateerde activiteiten. Precies een jaar later is dat naar 65 gedaald, een afname van 92 procent.

Verder laat het onderzoek van het securitybedrijf zien dat als een aanval met de RIG-exploitkit toch succesvol is, er geen ransomware meer wordt geïnstalleerd zoals vorig jaar nog het geval was, maar een cryptominer of tool om informatie mee te stelen. De onderzoekers komen dan ook tot de conclusie dat de RIG-exploitkit nog steeds aanwezig is, maar een veel kleinere rol speelt in het dreigingslandschap.