De maker van de exploitkit Blackhole heeft een exclusieve versie gebouwd met verse gaten die nog nauwelijks gepatcht zijn. Deze tool met de naam Cool Exploit Kit verscheen eind vorig jaar opeens op de radar van diverse beveiligingsonderzoekers. De kit wordt momenteel door minimaal twee cyberbendes gebruikt die elk 10.000 dollar neertelden voor de exclusieve premiumtool. Tot op heden ongepubliceerde kwetsbaarheden worden constant aan de tool toegevoegd.

Dure lekken gekocht

De nieuwe kit viel verschillende onderzoekers eind 2012 op door het gebruik van CVE's die nog nauwelijks worden misbruikt door traditionele tools van cyberdieven. Zo werd al vrij snel gebruikgemaakt van dezelfde kwetsbaarheid die Stuxnet-broertje Duqu gebruikte om zichzelf te verspreiden. Microsoft rolde in mei 2012 een patch uit voor het kritieke gat dat in 2011 door Duqu werd misbruikt.

Het is de bedoeling van de makers om lekken in bijvoorbeeld browser plug-ins te verzamelen die nog niet zijn gepubliceerd. Hiervoor hebben de makers een ton uitgetrokken om dure exploits aan te kopen. Het team kondigt aan op zoek te zijn naar nieuwe kwetsbaarheden of verbeteringen van oudere exploits waardoor deze weer bruikbaar zijn.

Misbruik blijft onopgemerkt

De gekochte lekken moeten exclusief worden gebruikt in Cool en niet in Blackhole. Beveilgingsonderzoeker Brian Krebs had contact met de makers en bevestigt dat dezelfde groep zowel Blackhole als de premiumkit verspreidt. “Deze worden niet openbaar gemaakt (afgezien van de situatie dat de kwetsbaarheid publiekelijk bekend wordt door ons)", stellen de malwareauteurs op een ondergronds forum.

Het kost klanten 10.000 euro om gebruik te maken van de tool. Het exclusieve karakter zorgt ervoor dat de tool op kleine schaal wordt ingezet. Hierdoor blijft het misbruik van een fout in bijvoorbeeld Java waardoor er een drive-by is uit te voeren op nietsvermoedende websurfers langer onopgemerkt.

Forse winst met ransomware

En als tweede bonus brengt het geld in het laatje van de makers om meer van deze zeldzame exploits te kopen. Daar is namelijk een stevige handel in op darknet, het ondergrondse internet dat niet geïndexeerd wordt door zoekmachines als Google en samenhangt van hackerforums en diensten die verborgen worden via onder meer Tor dat verkeer anonimiseert. Dat netwerk wordt gebruikt door inwoners van landen waar internet wordt gefilterd, politieke dissidenten en mensen die voorzichtig omgaan met hun privacy, maar ook door softwarepiraten, malwaremakers en handelaars in kinderporno.

Volgens Krebs wordt de kit vooral gebruikt om websitebezoekers te infecteren met ransomware. De Franse securityexpert 'Kafeine' wijst op het verspreiden van de politie-ransomware Reveton via Cool. Reveton is in Europa berucht, omdat het computers vergrendelt met een waarschuwing van de politie dat er illegaal materiaal is gevonden. Met het betalen van een 'boete' van 100 euro kan de pc vervolgens ontgrendeld worden. Vorig jaar bleek dat er dagelijks tientallen Nederlanders tot betalen overgaan.

In totaal brengt Reveton behoorlijk wat geld in het laatje, berekende Symantec onlangs. Door een C&C te monitoren die instructies naar besmette computers stuurde, zagen de onderzoekers 68.000 besmettingen per maand (PDF). Daarvan lepelden bijna tweeduizend mensen het losgeld - op dat moment 200 dollar - op. Dat komt neer op 13.000 dollar per dag. Volgens recente schattingen levert de malware dagelijks in totaal zelfs rond 40.000 dollar op.

Cool Exploit Kit begint opmars

Genoeg dus om het hoge prijskaartje van Cool te rechtvaardigen. Beveiligingsonderzoeker Krebs vraagt zich af of mensen bereid zijn de 10.000 dollar te betalen, maar constateert dat de tool momenteel wordt ingezet door tenminste twee cyberbendes waarvan onderzoekers de activiteiten hebben gezien. Daarbij wordt de tool aan de lopende band geüpdatet door de ambitieuze makers met nieuwe exploits.

Overigens zijn niet alle exploits in de kit even exclusief. Zo zag Kafeine, een Franse beveiligingsonderzoeker, dat Reveton via de kit werd gepusht door een Java-lek in Internet Explorer. Cruciaal was echter dat deze kwetsbaarheid op dat moment nog niet was opgenomen in Blackhole 2.0. En in december noteerde hij een heleboel nieuwe CVE's die zijn opgenomen in de tool, waaronder kwetsbaarheden in Java en een nog niet nader gespecificeerd lek in Adobe Reader. Krebs en Kafeine verwachten dat we de komende tijd wel meer gaan horen van deze exploitkit.