Las campañas de publicidad maliciosa en diciembre y el nuevo año han evitado que la actividad de los kits de explotaciones hibernen en el invierno de 2019. En su mayoría observamos Fallout y RIG con la aparición ocasional y limitada de GrandSoft para una orientación geográfica más amplia.

Además, los kits de exploits con un enfoque limitado como Magnitude, Underminer y GreenFlash Sundown se mantuvieron en el mismo camino: entregar ransomware a países mayormente asiáticos, y en particular a Corea del Sur.

Resumen de invierno 2019

  • Fallout EK
  • RIG EK
  • GrandSoft EK
  • Magnitud EK
  • Socavador ek
  • GreenFlash Sundown EK

De Internet Explorer  CVE-2018-8174  y de flash  CVE-2018-4878  siguen siendo las vulnerabilidades más comunes en todos los ámbitos, a pesar de que un par exploits han integrado la más reciente de Flash CVE-2.018-15.982 .

Fallout EK

Fallout sigue trayendo aire fresco a una atmósfera por otra parte obsoleta mediante la introducción de nuevas funciones e incluso la adopción de nuevas vulnerabilidades. También parece ser un buen marco experimental para algunos actores que han personalizado la entrega de la carga útil. Fallout fue el segundo kit de explotación para agregar  CVE-2018-15982 , una vulnerabilidad más reciente para Flash Player.

RIG EK

Good old RIG todavía está dando vueltas, pero ha tomado un asiento trasero ante el nuevo Fallout en muchas de las cadenas de malvertising que rastreamos, excepto quizás por Fobos . No ha habido cambios notables para informar desde la última vez que lo revisamos.

GrandSoft EK

GrandSoft y su carga útil Ramnit todavía van de la mano a través de una distribución limitada vinculada a sitios web comprometidos. Es quizás uno de los kits de explotación menos sofisticados en el mercado en este momento.

Magnitud EK

Mientras tanto, Magnitude EK está activa y servida a través de cadenas de publicidad maliciosa, con un enfoque en algunos países APAC como Corea del Sur. Magnitude continúa entregando su carga útil de ransomware Magniber sin archivos.

Socavador ek

Los esquemas de encriptación over-the-top de Underminer para ocultar sus proezas nos mantienen a los investigadores honestos cuando intentamos identificar exactamente qué hay debajo del capó. Vale la pena señalar que solo unos pocos días después de la publicación de Flash day-day y Proof of Concept (PoC) ( CVE-2018-15982 ), Underminer ya lo estaba implementando  .

GreenFlash Sundown EK

GreenFlash Sundown, también un kit de exploits geográfico específico, ha estado entregando varias razas de ransomware a objetivos en Asia. En nuestra última captura, lo vimos soltar el ransomware Seon en usuarios de Corea del Sur.

Mitigación

Si bien los parches oportunos y la evitación de Internet Explorer como navegador web ofrecerían protección contra los kits de explotación mencionados anteriormente, la realidad es que muchos usuarios (especialmente en entornos corporativos) todavía están detrás. Además, mientras que el IE se está eliminando gradualmente en América del Norte, todavía es muy adoptado en los países asiáticos, lo que explica por qué están siendo atacados actualmente.

La tecnología anti-exploit de Malwarebytes bloquea cada uno de estos kits de exploits (Fallout, RIG, GrandSoft, Magnitude, Underminer y GreenFlash Sundown) antes de que tengan la oportunidad de reducir su carga útil.

A medida que avanzamos en 2019, podemos decir que los kits de exploits, aunque no se acercan a su actividad máxima en 2017, aún se mantienen, y se utilizan principalmente en campañas de distribución de publicidad maliciosa. En términos de actividad global, Fallout lidera la carga, proporcionando las campañas y la carga útil más diversas. Mientras tanto, los EK específicos de Asia continúan en su mayor parte con su patrón habitual de impulsar la innovación (hasta cierto punto) y distribuir ransomware.