.
A Microsoft e a Fortra estão tomando medidas legais e técnicas para impedir que cibercriminosos usem o software Cobalt Strike desta última empresa para distribuir malware.
A Unidade de Crimes Digitais (DUC) da Microsoft, Fortra e o Centro de Compartilhamento e Análise de Informações de Saúde (Health-ISAC) entraram com um processo de 223 páginas reclamação contra vários grupos conhecidos por terem usado versões mais antigas e alteradas do Cobalt Strike em dezenas de ataques de ransomware.
O Tribunal Distrital dos EUA para o Distrito Leste de Nova York em 31 de março emitiu uma ordem judicial permitindo que a Microsoft e a Fortra derrubem endereços IP que hospedam versões crackeadas do Cobalt Strike e apreendam os nomes de domínio. Eles também podem notificar os ISPs e as equipes de prontidão para emergências de computadores (CERTs) para ajudar a colocar a infraestrutura offline e cortar as conexões com os computadores das vítimas.
A ampla ação tomada pelas empresas é um afastamento dos métodos anteriores usados pelo DCU, de acordo com Amy Hogan-Burney, gerente geral da unidade de segurança da Microsoft.
“Esta é uma mudança na forma como o DCU trabalhou no passado – o escopo é maior e a operação é mais complexa”, escreveu Hogan-Burney em um postagem no blog. “Em vez de interromper o comando e o controle de uma família de malware, desta vez, estamos trabalhando com a Fortra para remover cópias legadas e ilegais do Cobalt Strike, para que não possam mais ser usadas por cibercriminosos”.
Abuso contínuo de Cobalt Strike
A Fortra desenvolveu o Cobalt Strike há mais de uma década como uma ferramenta de penetração legítima usada para simular ações adversárias.
No entanto, os criminosos usaram o Cobalt Strike para obter acesso backdoor a sistemas direcionados, roubar dados e implantar malware, em particular ransomware como Conti, LockBite BlackBasta como parte do modelo ransomware como serviço.
Os malfeitores normalmente usam versões crackeadas mais antigas do software em suas operações, inclusive em ataques de alto perfil como os do governo de Costa Rica e da Irlanda Executivo de serviços de saúde. Famílias de ransomware conhecidas por usar cópias crackeadas do Cobalt Strike foram ligadas a quase 70 ataques contra organizações de saúde em mais de 19 países, de acordo com a Microsoft.
“Os kits de desenvolvimento de software e APIs da Microsoft são abusados como parte da codificação do malware, bem como da infraestrutura de distribuição de malware criminoso para atingir e enganar as vítimas”, escreveu Hogan-Burney, acrescentando que “interromper cópias legadas quebradas do Cobalt Strike prejudicará significativamente a monetização dessas cópias ilegais e retardar seu uso em ataques cibernéticos, forçando os criminosos a reavaliar e mudar suas táticas.”
É um problema mundial
Redmond disse que, embora não conheça as identidades exatas daqueles por trás dos ataques usando cópias quebradas do Cobalt Strike, encontrou infraestrutura maliciosa em todo o mundo em lugares como EUA, China e Rússia. As gangues criminosas que o usam não estão apenas nisso pelo dinheiro, mas incluem outros que trabalham para estados-nação como Rússia, China, Vietnã e Irã.
A Fortra tomou medidas para retardar o abuso de sua ferramenta Cobalt Strike, incluindo verificação, mas é difícil controlar o que os malfeitores fazem com cópias ilegais mais antigas do software.
Em novembro de 2022, a unidade Cloud Threat Intelligence do Google tomou medidas para ajudar as organizações a se proteger contra versões quebradas ou vazadas do Cobalt Strike. O grupo identificado 34 dessas versões sendo usadas na natureza e lançadas 165 de código aberto YARA regras – maneiras de identificar malware criando regras que detectam características específicas – e uma lista de indicadores de comprometimento.
“Nosso objetivo era fazer detecções de alta fidelidade para permitir identificar a versão exata de componentes específicos do Cobalt Strike”, escreveu o Google.
Um mês depois, o grupo Unit 42 da Palo Alto Network escreveu que as equipes de segurança poderiam detectar amostras de malware usando Cobalt Strike analisando artefatos na memória do processo.
Microsoft cita direitos autorais, atos RICO
Em seu extenso processo, Microsoft, Fortra e Health-ISAC citam violações da Lei de Direitos Autorais do Milênio Digital, da Lei de Direitos Autorais, da Lei de Fraude e Abuso de Computador e da Lei de Privacidade de Comunicações Eletrônicas, entre outras. Eles também citam o Racketeer Influenced and Corrupt Organizations Act (RICO), alegando conspirações.
Eles também estão colaborando com agências de aplicação da lei como a Divisão Cibernética do FBI, a Força-Tarefa Conjunta de Investigação Cibernética Nacional (NCIJTF) e o Centro Europeu de Cibercrime da Europol (EC3).
“Embora essa ação tenha impacto nas operações imediatas dos criminosos, prevemos que eles tentarão retomar seus esforços”, escreveu Hogan-Burney. “Nossa ação, portanto, não é uma e acabou.”
O Cobalt Strike não é a única ferramenta de software legítima usada em ataques cibernéticos. A Microsoft viu alguns de seus softwares, como sua ferramenta de criptografia BitLocker, abusados por criminosos. Um kit de ferramentas malicioso chamado Alien Fox sendo vendido via Telegram e outras vias está usando plataformas de digitalização como LeakIX e SecurityTrails em suas operações. ®
.
