Cisco affirme avoir bloqué la diffusion du kit d’exploit Angler après avoir localisé les serveurs chez un hébergeur de Dallas. Selon le blog de Cisco, son opération a empêché les serveurs de lancer une campagne mondiale. L’exploit d’Angler crypte les machines, et demande une rançon aux victimes en échange de la clef de décryptage. L’arnaque a rapporté 60 millions de dollars par an à ses auteurs. Au cours de l’enquête menée par son unité de sécurité Talos, Cisco a découvert que les ordinateurs infectés par le kit d’exploit Angler remontaient vers les serveurs de l’hébergeur Limestone Networks basé à Dallas. Limestone, qui a collaboré avec Talos, a détecté des anomalies dans le flux de données d’Angler. Cisco a également collaboré avec Level 3 Communications et OpenDNS, une entreprise en cours d’acquisition par Cisco, pour analyser l'activité et élaborer une défense.

Selon le blog, une mise à jour des produits a permis à Cisco de fermer l'accès aux clients et de stopper les redirections vers les serveurs proxy d’Angler. La société a également intégré un système de détection des intrusions répondant aux règles Snort pour détecter et bloquer les contrôles, et a livré des protocoles et d’autres informations pour permettre aux fournisseurs de services et à leurs clients de se protéger. « C’est un coup dur pour l'économie émergente des hackers qui tirent chaque année des centaines de millions de dollars des logiciels de rançon, de la vente d’adresses IP, d’informations de carte de crédit et d’informations personnelles sur le marché noir », a encore déclaré Cisco.