Microsoft, Fortra e o Centro de Compartilhamento e Análise de Informações de Saúde (Health-ISAC) anunciaram uma ampla repressão legal contra servidores que hospedam cópias ilegais do Cobalt Strike, uma das principais ferramentas de hacking usadas por criminosos cibernéticos.
"Seremos persistentes enquanto trabalhamos para derrubar as cópias ilegais e antigas do Cobalt Strike hospedadas ao redor do mundo", disse Amy Hogan-Burney, chefe da Unidade de Crimes Digitais (DCU) da Microsoft.
"Esta é uma ação importante da Fortra para proteger o uso legítimo de suas ferramentas de segurança.
A Microsoft também está comprometida com o uso legítimo de seus produtos e serviços."
Na última sexta-feira, 31 de março, o Tribunal Distrital dos EUA para o Distrito Leste de Nova York emitiu uma ordem judicial permitindo que a Microsoft e a Fortra (fabricante do Cobalt Strike) confiscassem os nomes de domínio e derrubassem os endereços IP dos servidores que hospedam versões ilegais do Cobalt Strike.
Isso acontecerá com a ajuda de equipes relevantes de prontidão para emergências de computadores (CERTs) e provedores de serviços de Internet (ISPs), com o objetivo final de tirar a infraestrutura maliciosa offline.
As derrubadas associadas a essa ação já começaram na terça-feira desta semana, e a ordem judicial também permite que a coalizão interrompa a nova infraestrutura que os atores ameaçadores usarão em ataques futuros.
"A interrupção das cópias antigas e ilegais do Cobalt Strike impedirá significativamente a monetização dessas cópias ilegais e diminuirá seu uso em ciberataques, forçando criminosos a reavaliar e mudar suas táticas", disse Hogan-Burney.
"A ação de hoje também inclui reivindicações de direitos autorais contra o uso malicioso do código de software da Microsoft e da Fortra, que são alterados e abusados para causar danos."
A Fortra, anteriormente conhecida como Help Systems, lançou o Cobalt Strike há mais de uma década, em 2012, como uma ferramenta legítima de teste de penetração comercial para equipes vermelhas explorarem a infraestrutura organizacional em busca de vulnerabilidades.
Embora o desenvolvedor selecione cuidadosamente os clientes e apenas licencie para uso legal, atores maliciosos obtiveram e distribuíram cópias ilegais do software ao longo do tempo, levando o Cobalt Strike a se tornar uma das ferramentas mais amplamente usadas em ciberataques envolvendo roubo de dados e ransomware.
Os atores ameaçadores o usam para tarefas pós-exploração após implantar faróis projetados para fornecer acesso remoto persistente a dispositivos comprometidos para colher dados sensíveis ou deixar payloads maliciosos adicionais.
A Microsoft detectou infraestrutura maliciosa hospedando o Cobalt Strike em todo o mundo, incluindo na China, nos Estados Unidos e na Rússia, embora a identidade dos responsáveis pelas operações criminosas permaneça desconhecida.
A empresa também observou vários atores ameaçadores apoiados pelo estado e grupos de hackers usando versões ilegais do Cobalt Strike enquanto agem em nome de governos estrangeiros, incluindo Rússia, China, Vietnã e Irã.
"As famílias de ransomware associadas ou implantadas por cópias ilegais do Cobalt Strike foram vinculadas a mais de 68 ataques de ransomware que afetaram organizações de saúde em mais de 19 países ao redor do mundo", disse Hogan-Burney.
"Esses ataques custaram milhões de dólares em recuperação e reparo para os sistemas hospitalares, além de interrupções nos serviços críticos de cuidados ao paciente, incluindo resultados de diagnóstico, imagem e laboratório atrasados, procedimentos médicos cancelados e atrasos na entrega de tratamentos de quimioterapia, para citar alguns."
Em novembro de 2022, a equipe de Inteligência de Ameaças do Google Cloud também tornou público 165 regras YARA e uma coleção de indicadores de comprometimento (IOCs) para ajudar os defensores de rede a detectar componentes do Cobalt Strike em suas redes.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...