Trace Id is missing

Stoppe nettkriminelle fra å misbruke sikkerhetsverktøy

Del
Et sett med ikoner på en oransje bakgrunn.

Microsofts avdeling for nettkriminalitet (DCU), programvareselskapet for cybersikkerhet Fortra™ og Health Information Sharing and Analysis Center (Health-ISAC) iverksetter tekniske og juridiske tiltak for å avbryte knekte, eldre kopier av Cobalt Strike og misbrukt Microsoft-programvare, som har blitt brukt av nettkriminelle for å distribuere skadelig programvare, inkludert løsepengevirus. Dette er en endring i måten DCU har arbeidet tidligere – omfanget er større, og driften er mer kompleks. I stedet for å avbryte kommandoen og kontrollen til en skadelig programvareserie samarbeider vi denne gangen med Fortra for å fjerne ulovlige, eldre kopier av Cobalt Strike slik at de ikke lenger kan brukes av nettkriminelle.

Vi må være tålmodige når arbeider med å ta ned de knekte eldre kopiene av Cobalt Strike, som driftes rundt om i verden. Dette er et viktig tiltak fra Fortra, for å beskytte den legitime bruken av sikkerhetsverktøy. Microsoft er også opptatt av legitim bruk av produkter og tjenester. Vi mener også at det at Fortra velger å samarbeide med oss på dette tiltaket er en anerkjennelse av DCUs arbeid med å bekjempe cyberkriminalitet det siste tiåret. Sammen er vi opptatt av å gå etter den nettkriminelles ulovlige distribusjonsmetoder.

Cobalt Strike er et legitimt og populært etterutnyttelsesverktøy som brukes til motstandersimulering, levert av Fortra. Noen ganger har eldre versjoner av programvaren blitt misbrukt og endret av de kriminelle. Disse ulovlige kopiene refereres til som «knekte», og har blitt brukt til å starte destruktive angrep, slik som de mot myndighetene på Costa Rica og Irish Health Service Executive. Programvareutviklingssett fra Microsoft og API-er misbrukes som en del av kodingen til den skadelige programvaren, i tillegg til distribusjonsinfrastrukturen til den kriminelle skadelige programvaren, for å rette seg mot og villede ofrene.

Løsepengevirusseriene forbundet med eller distribuert av knekte kopier av Cobalt Strike har vært knyttet til mer enn 68 angrep med løsepengevirus og har hatt innvirkning på helseorganisasjoner i mer enn 19 land rundt om i verden. Disse angrepene har kostet sykehussystemer flere millioner dollar i gjenopprettings- og reparasjonskostnader, pluss forstyrrelser innen kritiske pasientomsorgstjenester, blant annet forsinket diagnostikk-, bilde- og laboratorieresultater, kansellerte medisinske behandlinger og forsinkelser i cellegiftbehandling, for å nevne noen.

Global distribusjon av knekte Cobalt Strike-kopier
Microsoft-data som viser den globale spredningen av datamaskiner som er infisert av knekte Cobalt Strike-kopier.

Den 31. mars 2023 utstedte den amerikanske tingretten i Eastern District i New York en rettskjennelse som lot Microsoft, Fortra, og Health-ISAC avbryte den skadelige infrastrukturen som brukes av kriminelle, for å legge til rette for angrep. Ved å gjøre dette får vi mulighet til å varsle relevante Internett-tjenesteleverandører (ISP-er) og databeredskapsteam (CERT-er) som hjelper med å koble fra infrastrukturen, og skille koblingen mellom kriminelle operatører og infiserte offerdatamaskiner.

Fortras og Microsofts etterforskningsarbeid omfatter oppdagelse, analyse, telemetri og omvendt utvikling, med ekstra data og innsikt for å styrke den juridiske basen fra et globalt nettverk av partnere, inkludert Health-ISAC, Fortra Cyber Intelligence-teamet, og data og innsikt fra Microsoft trusselinformasjon-teamet. Tiltaket vårt fokuserer kun på å avbryte knekte, eldre Cobalt Strike-kopier og kompromittert Microsoft-programvare.

Microsoft utvider også en juridisk metode som brukes til å avbryte skadelig programvare og statlige operasjoner, for å rette seg mot misbruk av sikkerhetsverktøy som brukes av et bredt spekter av nettkriminelle. Avbrutte, knekte eldre kopier av Cobalt Strike vil i betydelig grad hindre inntektsgenerering fra disse ulovlige kopiene og bremse bruken i cyberangrep, og tvinger kriminelle til å re-evaluere og endre taktikken sin. Dagens tiltak omfatter også opphavsrettskrav mot den skadelige bruken av Microsofts og Fortras programvarekode som er endret og misbrukt for å skade.

Fortra har iverksatt betydelige tiltak for å hindra misbruk av programvaren, inkludert streng praksis for bakgrunnssjekk av kunder. Kriminelle er imidlertid kjent for å stjele eldre versjoner av sikkerhetsprogramvare, inkludert Cobalt Strike, og opprette knekte kopier for å oppnå bakdørtilgang til maskiner og distribuere skadelig programvare. Vi har observert løsepengevirusoperatører bruke knekte kopier av Cobalt Strike og misbrukt Microsoft-programvare for å distribuere Conti, LockBit og andre løsepengevirus som en del av forretningsmodellen løsepengevirus som tjeneste.

Trusselaktører bruker knekte kopier av programvare for å øke farten på distribusjonen av løsepengevirus på kompromitterte nettverk. Diagrammet nedenfor viser en angrepsflyt som fremhever medvirkende faktorer, blant annet målrettet phishing og skadelig søppelpost, for å få innledningsvis tilgang, samt misbruken av kode stjålet fra selskaper som Microsoft og Fortra.

Flytdiagram av trusselaktørangrep
Eksempel på en angrepsflyt fra trusselaktør DEV-0243.
Microsoft Digital Defense
Utvalgte

Microsoft Digital Defense Report 2023: Bygge cybermotstandsdyktighet

Den siste utgaven av Microsoft-rapporten om digitalt forsvar utforsker det fremvoksende trussellandskapet og går gjennom muligheter og utfordringer etter hvert som vi blir cybermotstandsdyktige.
Mer informasjon

Selv om de nøyaktige identitetene til de som gjennomfører de kriminelle operasjonene for øyeblikket er ukjente, har vi oppdaget skadelig infrastruktur i hele verden, inkludert USA og Russland. I tillegg til økonomisk motiverte nettkriminelle har vi observert trusselaktører som handler i utenlandske myndigheters interesse, inkludert fra Russland, Kina, Vietnam og Iran, ved å bruke knekte kopier.

Microsoft, Fortra og Health-ISAC forblir ubøyelige i arbeidet med å forbedre sikkerheten til økosystemet, og vi samarbeider med FBI Cyber Division, National Cyber Investigative Joint Task Force (NCIJTF) og Europols European Cybercrime Centre (EC3) på denne saken. Selv om dette tiltaket har innvirkning på den umiddelbare driften til de kriminelle, forventer vi at de vil prøve å gjenopplive arbeidet. Tiltaket er derfor ikke gjort på 1-2-3. Gjennom pågående juridiske og tekniske tiltak fortsetter Microsoft, Fortra og Health-ISAC, sammen med partnerne våre, med å overvåke og iverksette tiltak for å avbryte ytterligere kriminelle operasjoner, inkludert bruken av knekte Cobalt Strike-kopier.

Fortra bruker betydelige mengder dataressurser og menneskelige ressurser for å bekjempe den ulovlige bruken av programvaren og knekte kopier av Cobalt Strike, og hjelper kunder med å avgjøre om programvarelisensene deres har blitt kompromittert. Legitime sikkerhetseksperter som kjøper Cobalt Strike-lisenser, er undersøkt av Fortra og må overholde bruksrestriksjoner og eksportkontroller. Fortra arbeider aktivt med sosiale medier og fildelingsnettsteder for å fjerne knekte kopier av Cobalt Strike når de dukker opp på disse nettområdene. Etter hvert som kriminelle har tilpasset teknikkene sine, har Fortra tilpasset sikkerhetskontrollene i Cobalt Strike-programvaren for å eliminere metoder som brukes til å knekke eldre versjoner av Cobalt Strike.

Slik vi har siden 2008, vil Microsofts DCU fortsette arbeidet med å stoppe spredningen av skadelig programvare ved å sende tvistemål for å beskytte kundene mot det store antallet land rundt om i verden hvor disse lovene er på plass. Vi vil også fortsette å arbeide med ISP-er og CERT-er for å identifisere og avhjelpe ofre.

Relaterte artikler

Tre måter å beskytte deg mot løsepengevirus på

Moderne forsvar mot løsepengevirus krever mye mer enn bare å iverksette oppdagelsestiltak. Oppdag de tre beste måtene du kan styrke nettverkssikkerheten mot løsepengevirus på i dag.
Mer informasjon

Løsepengevirus som tjeneste: Industrialisert nettkriminalitet satt i et nytt lys

Nettkriminalitetens nyeste bedriftsmodell, menneskestyrte angrep, oppmuntrer kriminelle med varierende evner.
Mer informasjon

Bak kulissene med Nick Carr, ekspert på nettkriminalitet og løsepengevirus

Nick Carr, leder for teamet som analyserer nettkriminalitet ved Microsoft trusselinformasjon, diskuterer trender for løsepengevirus, forklarer hva Microsoft gjør for å beskytte kunder mot løsepengevirus, og beskriver hva organisasjoner kan gjøre hvis de har blitt berørt av det.
Mer informasjon

Følg Microsoft Sikkerhet