Аналитик компании Palo Alto Network Бред Дункан (Brad Duncan) рассказал, что известный набор эксплоитов RIG «перепрофилировался» и теперь распространяет майнеры и инфостилеры вместо вымогательского ПО. Кроме того, исследователь отмечает, что «на рынке» наборов эксплоитов в целом наблюдается глобальный упадок.
Дункан пишет, что падение спроса на эксплоит-киты началось еще в 2016 году, и теперь этот процесс лишь закономерно набирает обороты. Так, в последнее время масштабные кампании с использованием наборов эксплоитов обнаруживают все реже, более того, в 2017 году свою деятельность прекратили Sundown и Neutrino, то есть у RIG практически не осталось серьезных конкурентов. Однако даже отсутствие соперников не помогает RIG удержаться на плаву. По данным Palo Alto Network, в январе 2017 года было обнаружено 812 вредоносных кампаний с использованием RIG, но уже в январе 2018 года было зафиксировано только 65 таких кампаний.
Происходящее объясняется очень просто. Дело в том, что использовать наборы эксплоитов становится все сложнее, ведь современные браузеры уже не так просто скомпрометировать, особенно после массового отказа от Flash и перехода на HTML5. Кроме того, на работу эксплоит-кита RIG значительно повлияла операция Shadowfall, проведенная рядом компаний и независимых ИБ-специалистов летом 2017 года.
Бред Дункан полагает, что сейчас мы имеем возможность наблюдать самый настоящий закат эпохи наборов эксплоитов, и вскоре киберпреступники откажутся от них вовсе, отдав предпочтение старому доброму спаму и социальной инженерии. В настоящее время RIG, оставшийся практически единственным крупным игроком в данной области, продолжает работать за счет ряда крупных и лояльных клиентов, но, по мнению Дункана, скоро и им станет очевидно, что RIG более неэффективен и не заражает достаточное количество пользователей.
Еще в январе 2017 года RIG в основном использовался для распространения шифровальщиков, включая такие известные угрозы, как Locky, Cerber, CrytoMix, CryptoShield и Spora. Теперь же ни одна из кампаний, связанных с этими вымогателями, более неактивна, а стоявшие за ними операторы обратились к социальной инженерии, поддельным плагинам для браузеров и созданию сайтов фальшивой технической поддержки.
В январе 2018 года набор эксплоитов RIG использовался лишь для трех заметных кампаний: Fobos, Ngay и Seamless. Так, кампания Fobos распространяет трояна Bunitu; Ngay распространяет различное майнинговое ПО и малварь, ворующую личные данные пользователей; Seamless же в основном распространяет инфостилера Ramnit.
При этом Дункан отмечает, что основную прибыль авторам RIG сейчас приносит именно майнинговая малварь и общий рост интереса к ней. На графике ниже видно, что за последний год количество вредоносных майнеров возросло почти на 3000%.
