Angler jest urządzeniem generującym duże ilości wariacji domen opartych na już istniejącej domenie. Wygenerowane w ten sposób domeny pozwalają na ukrycie przesyłu danych pomiędzy zarażonymi urządzeniami a sieciami czy serwerami typu commmand and control zarządzanymi przez hakera. Wykorzystuje do tego algorytm DGA (Domein Generation Algorithm).

- Liczba ataków opartych na DGA wzrosła znacząco w ostatnich miesiącach. Ostatnie ataki z użyciem ransomware pokazują jednak, że algorytm może być jeszcze bardzie dopracowany. To oznacza, że będzie jeszcze skuteczniejszy  – mówi Andra Zaharia, specjalista ds. cyberbezpieczeństwa w firmie Heimdal Security.

Angler pojawił się w obiegu w okolicach roku 2013, jednak jego ostatnie ataki wymierzone już nie tylko w firmy pokazują, że jest on nadal rozwijany. Może on być realnym zagrożeniem dla firm oraz użytkowników sieci.

Firma Heimdal potwierdziła, że większość domen wygenerowanych za pomocą DGA znajduję się na terenie Rumunii, choć ataki przy użyciu wirusów są raczej wymierzone w bogatsze społeczności północnej i zachodniej Europy.

- Choć trwają działania wymierzone w infrastrukturę Anglera, to hakerzy nie przestają używać tego systemu. Zbyt dużo pieniędzy wchodzi w grę. Na szczęście czasami udaje się skutecznie blokować domeny związane z tym narzędziem – tłumaczy Zaharia.

Zdaniem firmy Tripwire miesięczna kwota jaką „produkuje” Angler dla cyberprzestępców to przynajmniej 3 mln dolarów. Samo wykorzystanie tego narzędzia wydaję się dziecinie proste. System nie wymaga szerokiej wiedzy technicznej. Złośliwe kody produkowane przez Anglera i sprzedawane przez przestępców są dosyć tanie i mogą zostać wstrzyknięte do dowolnego złośliwego oprogramowania. Do tego trudno je wykryć i mogą atakować wiele luk w systemach.

Źródło: Heimdal Security

Czytaj też: Numer telefonu wystarczy hakerowi do podsłuchiwania naszych rozmów