Trace Id is missing

Empêcher l’utilisation abusive d’outils de sécurité par les cybercriminels

Partager
Ensemble d’icônes sur un fond orange.

La DCU (Digital Crimes Unit) de Microsoft, l’éditeur de logiciels de cybersécurité Fortra™ et le Health Information Sharing and Analysis Center (Health-ISAC) prennent des mesures techniques et juridiques pour perturber les copies piratées d’anciennes versions de Cobalt Strike et les logiciels Microsoft mal utilisés dont se servent les cybercriminels pour propager des logiciels malveillants comme les rançongiciels. Ceci marque un changement dans la façon dont la DCU a travaillé par le passé, car aujourd’hui le champ d’action est plus étendu et les opérations sont plus complexes. Au lieu de perturber le système de commande et de contrôle d’une famille de logiciels malveillants, cette fois, nous collaborons avec Fortra pour supprimer les copies illégales d’anciennes versions de Cobalt Strike afin d’empêcher leur utilisation par des cybercriminels.

Nous devrons nous montrer persévérants dans nos efforts pour éradiquer les copies piratées d’anciennes versions de Cobalt Strike qui sont stockées dans le monde entier. Cette initiative importante menée par Fortra a pour but de protéger l’utilisation légitime de ses outils de sécurité. Microsoft partage le même combat pour que ses produits et services soient utilisés en toute légitimité. Nous pensons aussi que le choix de Fortra de nous associer à cette initiative est une forme de reconnaissance du travail que la DCU a engagé dans la lutte contre la cybercriminalité au cours de la dernière décennie. Nous sommes déterminés à traquer ensemble les méthodes de distribution illégale qui sont employées par les cybercriminels.

Le logiciel Cobalt Strike de Fortra est un outil légitime et populaire de post-exploitation qui permet la simulation d’adversaire. Des versions plus anciennes du logiciel ont parfois été compromises et utilisées de manière abusive par des cybercriminels. Ces copies illégales, « piratées », ont servi à lancer des attaques destructrices, à l’image de celles menées contre le Gouvernement du Costa Rica et le système Irish Health Service Executive. Des kits de développement logiciel (SDK) et des API fournis par Microsoft ont été utilisés de façon abusive pour les besoins de codage de programmes malveillants ainsi que dans l’infrastructure de distribution illégale de logiciels malveillants pour cibler et tromper les victimes.

Il a été établi que les familles de rançongiciels associées à ou déployées par des copies piratées de Cobalt Strike ont été impliquées dans plus de 68 attaques par rançongiciel qui ont impacté des établissements du secteur de la santé dans plus de 19 pays à travers le monde. Ces attaques ont coûté des millions de dollars aux systèmes hospitaliers en frais de récupération et de réparation, sans compter les interruptions de services de soins critiques pour les patients, ayant entraîné des retards de diagnostic et dans les résultats d’imagerie et de laboratoire, l’annulation d’actes médicaux et des reports d’administration des traitements de chimiothérapie, parmi beaucoup d’autres exemples.

Propagation mondiale de copies piratées de Cobalt Strike
Données de Microsoft illustrant la répartition mondiale des ordinateurs infectés par des copies piratées de Cobalt Strike.

Le 31 mars 2023, le Tribunal de District des États-Unis pour le District Est de New York a rendu une décision de justice qui autorise Microsoft, Fortra et la Health-ISAC à perturber l’infrastructure utilisée par les criminels à des fins malveillantes pour faciliter leurs attaques. Sur la base de ce jugement, nous pouvons avertir les fournisseurs de services Internet (les ISP) et les équipes de réponse aux incidents informatiques (CERT) qui aident les victimes à arrêter leur infrastructure, coupant ainsi efficacement la connexion entre les cybercriminels et les ordinateurs infectés des victimes.

Avec Fortra, nous portons nos efforts d’investigation sur la détection, l’analyse, la télémétrie et l’ingénierie à rebours, en collectant des données et des insights supplémentaires auprès d’un réseau mondial de partenaires, dont Health-ISAC et l’équipe de cyberveille de Fortra, et de l’équipe de veille des menaces Microsoft, tout cela dans le but d’étayer notre dossier juridique. Notre initiative vise uniquement à perturber les copies piratées d’anciennes versions de Cobalt Strike ainsi que les logiciels Microsoft compromis.

Microsoft élargit également une méthode juridique utilisée avec succès pour perturber les opérations lancées par des États-nations et des logiciels malveillants, et lutter contre l’utilisation abusive des outils de sécurité par des cybercriminels de tous horizons. En perturbant les anciennes copies de Cobalt Strike qui sont piratées, nous entravons considérablement la monétisation de ces copies illégales et nous freinons leur utilisation dans les cyberattaques, ce qui oblige les criminels à réévaluer et changer leurs tactiques. Aujourd’hui, notre initiative inclut aussi des revendications de droits d’auteur contre l’utilisation malveillante de code logiciel qui appartient à Microsoft ou Fortra et qui fait l’objet de compromission et d’utilisation abusive.

Fortra a pris d’importantes mesures pour prévenir l’utilisation abusive de ses logiciels, y compris des pratiques strictes de vérification de ses clients. Toutefois, nous savons que les criminels volent des versions plus anciennes des logiciels de sécurité, comme Cobalt Strike, et en créent des copies piratées qui leur permettent d’accéder par une porte dérobée aux ordinateurs et d’y déployer des logiciels malveillants. Nous avons observé que des exploitants de rançongiciels se servent de copies piratées de Cobalt Strike et utilisent des logiciels Microsoft de façon abusive pour déployer Conti, LockBit et d’autres rançongiciels dans le cadre du modèle économique du rançongiciel en tant que service (RaaS).

Les acteurs de la menace se servent de copies piratées de logiciels pour déployer plus vite leurs rançongiciels sur des réseaux compromis. Le diagramme ci-dessous montre un schéma d’attaque, mettant en évidence plusieurs facteurs contributifs, comme le harponnage et les e-mails de courrier indésirable malveillants pour obtenir un accès initial, ainsi que l’utilisation abusive de code volé à des entreprises comme Microsoft et Fortra.

Diagramme du schéma d’attaque par l’acteur de la menace
Exemple de schéma d’attaque par l’acteur de la menace DEV-0243.
Défense numérique Microsoft
Sélection

Rapport de défense numérique Microsoft de 2023 : renforcer la cyber-résilience

La dernière édition du Rapport de défense numérique Microsoft explore l’évolution du paysage des menaces, et passe en revue les opportunités et les défis à mesure que nous devenons cyber-résilients.
En savoir plus

Même si nous ne connaissons pas encore les identités exactes des personnes menant les opérations criminelles, nous avons détecté l’infrastructure malveillante dans plusieurs pays dans le monde, y compris en Chine, aux États-Unis et en Russie. En plus des cybercriminels agissant pour des motifs financiers, nous avons constaté que certains acteurs de la menace exploitent des copies piratées dans l’intérêt de gouvernements étrangers, parmi lesquels la Russie, la Chine, le Vietnam et l’Iran.

Tous ensemble, chez Microsoft, Fortra et le Health-ISAC, nous poursuivons sans relâche nos efforts pour renforcer la sécurité de l’écosystème, et nous travaillons sur ce dossier en collaboration avec la Cyber Division du FBI, la National Cyber Investigative Joint Task Force (NCIJTF) et le Centre européen de lutte contre la cybercriminalité (EC3) d’Europol. Cette initiative aura un impact dans l’immédiat sur les opérations lancées par les criminels, mais nous sommes pleinement conscients qu’ils redoubleront d’efforts pour relancer leurs activités. Notre combat est donc loin d’être terminé. Par le biais de mesures légales et techniques persistantes, Microsoft, Fortra et le Health-ISAC, aidés de nos partenaires, nous poursuivrons notre stratégie de veille et de perturbation de toutes les opérations à visée criminelle, telles que l’utilisation de copies piratées de Cobalt Strike.

Fortra consacre d’importantes ressources informatiques et humaines à la lutte contre l’utilisation illégale de son logiciel et des copies piratées de Cobalt Strike, en aidant ses clients à déterminer si leurs licences logicielles ont été compromises. Les professionnels légitimes de la sécurité qui achètent des licences de Cobalt Strike font l’objet d’une vérification par Fortra et sont tenus de se conformer aux restrictions d’utilisation et aux contrôles d’exportation. Fortra travaille activement avec les réseaux sociaux et les sites de partage de fichiers pour supprimer les copies piratées de Cobalt Strike qui circulent sur ces plateformes web. À mesure que les criminels ont adapté leurs techniques, Fortra a fait évoluer les contrôles de sécurité dans son logiciel Cobalt Strike pour éliminer les méthodes de piratage des anciennes versions de Cobalt Strike.

Comme nous le faisons depuis 2008, la DCU de Microsoft persistera dans ses efforts pour arrêter la propagation des logiciels malveillants en engageant des poursuites civiles et ainsi protéger les clients dans les nombreux pays à travers le monde où ces lois sont appliquées. Nous poursuivrons également notre collaboration avec les ISP et les CERT pour identifier les victimes et leur apporter des solutions.

Articles connexes

Trois moyens de vous protéger contre les rançongiciels

Une défense contre les ransomwares actuels nécessite bien plus que la mise en place de mesures de détection. Découvrez les trois meilleurs moyens de renforcer la sécurité de votre réseau contre les rançongiciels, dès aujourd’hui.
En savoir plus

Le rançongiciel en tant que service (RaaS) : nouveau visage de la cybercriminalité industrialisée

Le nouveau modèle économique de la cybercriminalité, à savoir les attaques menées par l’homme, enhardit les criminels de tous horizons.
En savoir plus

Dans les coulisses avec Nick Carr, spécialiste du cybercrime et de la lutte contre les rançongiciels

Nick Carr, responsable de l’équipe Cybercrime Intelligence au Microsoft Threat Intelligence Center, présente les tendances dans le secteur des rançongiciels, explique les mesures prises par Microsoft pour protéger ses clients contre les attaques par rançongiciel et décrit les actions que peuvent prendre les entreprises ayant subi ce type d’attaque.
En savoir plus

Suivez la Sécurité Microsoft