.
A Europol acaba de anunciar que uma operação de uma semana no final de junho derrubou quase 600 endereços IP que davam suporte a cópias ilegais do Cobalt Strike.
A ferramenta legítima de red-teaming da Fortra é famosa por ser amplamente utilizada por criminosos cibernéticos, que obtêm cópias crackeadas da ferramenta para uso em operações de malware e ransomware, como Ryuk, Trickbot e Conti.
A Europol disse que a ação disruptiva, apelidada de Operação Morpheus, é o ápice do trabalho que começou há três anos. Foi realizada com parceiros do setor privado entre 24 e 28 de junho.
“Ao longo da semana, as autoridades policiais sinalizaram endereços IP conhecidos associados a atividades criminosas, juntamente com uma série de nomes de domínio usados por grupos criminosos, para que os provedores de serviços online desabilitassem versões não licenciadas da ferramenta”, afirmou hoje.
“Um total de 690 endereços IP foram sinalizados para provedores de serviços online em 27 países. Até o final da semana, 593 desses endereços foram retirados.
“Esta investigação foi liderada pela Agência Nacional de Crimes do Reino Unido e envolveu autoridades policiais da Austrália, Canadá, Alemanha, Holanda, Polônia e Estados Unidos. A Europol coordenou a atividade internacional e fez a ligação com os parceiros privados.”
Vários parceiros do setor privado apoiaram a corrida de uma semana, incluindo BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch e The Shadowserver Foundation.
Os parceiros usaram a Malware Information Sharing Platform da Europol para enviar peças de evidência e inteligência de ameaças que deram suporte aos esforços de interrupção. A Euro cop shop disse que mais de 730 peças de inteligência de ameaças foram compartilhadas, bem como quase 1,2 milhão de indicadores de comprometimento ao longo de toda a operação.
“Cobalt Strike é o canivete suíço dos cibercriminosos e atores de estados-nação”, disse Don Smith, vice-presidente de inteligência de ameaças da Secureworks. “Cobalt Strike tem sido a ferramenta de escolha dos cibercriminosos há muito tempo, inclusive como um precursor do ransomware. Ele também é implantado por atores de estados-nação, como russos e chineses. [groups]para facilitar intrusões em campanhas de espionagem cibernética.
“Usado como um ponto de apoio, ele provou ser altamente eficaz em fornecer um backdoor persistente para as vítimas, facilitando intrusões de todas as formas. Essa interrupção é bem-vinda, remover a infraestrutura do Cobalt Strike usada por criminosos é sempre uma coisa boa.”
Joao Marques, John Fokker e Leandro Velasco, da Trellix, também blogaram sobre seu envolvimento na Operação Morpheus. Eles disseram que, embora a atividade de interrupção faça os criminosos repensarem seu uso do Cobalt Strike, seus dados mostram que o trabalho não tocou na China.
De acordo com sua telemetria, a China hospeda 43,85 por cento dos recursos do Cobalt Strike. Para colocar isso em contexto, o próximo maior distribuidor são os EUA, com uma participação de 19,08 por cento.
Compare isso com o país que sofre o maior impacto dos ataques do Cobalt Strike (os EUA, com uma participação de 45,04%) e você pode ter uma ideia bem fundamentada de onde residem os criminosos que mais abusam da ferramenta do Fortra.
“O desmantelamento da infraestrutura do Cobalt Strike envia uma mensagem poderosa aos criminosos cibernéticos e aos atores do estado-nação sobre as repercussões das atividades cibernéticas maliciosas”, disseram os pesquisadores.
A NCA disse em um comunicado: “Essa atividade de interrupção representa mais de dois anos e meio de colaboração entre autoridades policiais internacionais e a indústria privada liderada pela NCA para identificar, monitorar e denegrir seu uso.”
Embora as agências de segurança pública tenham reconhecido as “medidas significativas” que a Fortra tomou para evitar que sua poderosa ferramenta de pós-exploração fosse mal utilizada, a equipe da Trellix não foi tão positiva.
Marques, Fokker e Velasco disseram que acolheram com satisfação a colaboração da Fortra com a Operação Morpheus e as medidas tomadas para impedir o uso indevido do Cobalt Strike, mas fizeram alusão a preocupações persistentes.
“Estamos muito satisfeitos em ver que a Fortra, atual proprietária da Cobalt Strike, colaborou na operação e está implementando medidas mais sofisticadas para evitar o cracking de seu software”, disseram.
“No entanto, é importante abordar a postura de longa data do Cobalt Strike sob propriedade anterior, em relação às suas restrições para comprar uma licença para fornecedores de segurança cibernética. Muitos fornecedores de segurança cibernética acreditam que essa decisão inadvertidamente fomentou um ambiente precário onde os criminosos cibernéticos exploram versões crackeadas do Cobalt Strike para atividades maliciosas e os fornecedores não conseguem se defender contra seu uso indevido.
“Embora essas novas medidas sejam um passo muito bom na direção certa, estamos ansiosos para fazer mais. Essa situação ressalta a necessidade de esforços colaborativos mais integrais para proteger organizações contra o abuso do Cobalt Strike. Apelamos ao Cobalt Strike para reconsiderar suas políticas e colaborar com fornecedores de segurança cibernética para aprimorar produtos e combater o uso indevido dessas ferramentas poderosas.”
Perguntamos à Trellix sobre os problemas específicos aos quais eles se referem e atualizaremos o artigo quando as respostas chegarem.
Leva dois
Os esforços da Operação Morpheus acontecem pouco mais de um ano depois que a Microsoft, a Fortra e a Health-ISAC levaram um caso aos tribunais, obtendo permissão legal para remover vários endereços IP localizados que hospedavam versões crackeadas do Cobalt Strike.
Isso ocorreu após o Google oferecer um tipo diferente de suporte na luta contra o abuso do Cobalt Strike. Em 2022, ele elaborou e tornou pública uma lista de 165 regras YARA para ajudar organizações a anular rapidamente qualquer uma das 34 versões que a Chocolate Factory identificou em circulação na época.
Entretanto, mesmo no ano passado, quando a primeira rodada de endereços IP foi neutralizada, os investigadores sabiam que não seria suficiente.
“Embora essa ação tenha impacto nas operações imediatas dos criminosos, prevemos que eles tentarão reavivar seus esforços”, disse Amy Hogan-Burney, gerente geral da unidade de segurança da Microsoft na época. “Nossa ação, portanto, não é única e definitiva.”
Desde que a Fortra comprou a Cobalt Strike em 2020, ela fez progressos para garantir que criminosos não tenham acesso a versões legítimas de suas ferramentas. Por exemplo, ela logo começou a examinar todos os candidatos vigorosamente antes de dar licenças, mas versões crackeadas em lugares de difícil acesso como a China podem ser difíceis de erradicar para sempre.
Paul Foster, diretor de Liderança de Ameaças da Agência Nacional de Crimes, disse: “Embora o Cobalt Strike seja um software legítimo, infelizmente os cibercriminosos têm explorado seu uso para propósitos nefastos.
“Versões ilegais dele ajudaram a diminuir a barreira de entrada no crime cibernético, tornando mais fácil para criminosos online desencadearem ataques prejudiciais de ransomware e malware com pouca ou nenhuma experiência técnica.
“Esses ataques podem custar milhões às empresas em termos de perdas e recuperação.”
Ele pediu que as empresas que foram vítimas de crimes cibernéticos “se apresentem e denunciem tais incidentes às autoridades policiais”. ®
.
