Trace Id is missing

Voorkomen dat cybercriminelen beveiligingshulpmiddelen misbruiken

Delen
Een verzameling pictogrammen op een oranje achtergrond.

De Digital Crimes Unit (DCU) van Microsoft, cyberbeveiligingssoftwarebedrijf Fortra™ en het Health Information Sharing and Analysis Center (Health-ISAC) pakken de 'gecrackte', verouderde versies van Cobalt Strike en misbruikte Microsoft-software op technisch en juridisch vlak aan, zodat cybercriminelen die software niet meer kunnen gebruiken om malware te verspreiden, inclusief ransomware. Dit is een andere manier dan waarop de DCU voorheen heeft gewerkt – de omvang is groter, en de activiteit is complexer. In plaats van de command-and-control van een malwarefamilie te verstoren, werken we dit keer samen met Fortra om illegale, verouderde versies van Cobalt Strike te verwijderen, zodat die niet meer kunnen worden gebruikt door cybercriminelen.

We zullen standvastig moeten zijn in het verwijderen van de 'gecrackte', verouderde versies van Cobalt Strike die over de hele wereld worden gehost. Dit is een belangrijke actie van Fortra om het legitieme gebruik van zijn beveiligingstools te beschermen. Microsoft legt zich op dezelfde manier toe op het legitieme gebruik van zijn producten en services. We geloven ook dat Fortra's keuze om met ons samen te werken voor deze actie een erkenning is van het werk van de DCU om cybercriminaliteit te bestrijden in het afgelopen decennium. Samen leggen we ons erop toe de illegale verspreidingsmethoden van de cybercriminelen aan te pakken.

Cobalt Strike is een legitieme en populaire tool voor na exploitatie, die wordt gebruikt voor simulatie van tegenstanders en wordt geleverd door Fortra. Soms zijn oudere versies van de software door criminelen misbruikt en gewijzigd. Deze illegale versies worden 'gecrackt' genoemd en zijn gebruikt om vernietigende aanvallen te lanceren, zoals die tegen de overheid van Costa Rica en de Health Service Executive van Ierland. Software Development Kits en API's van Microsoft worden misbruikt als onderdeel van de codering van de malware, evenals de criminele malwareverspreidingsinfrastructuur om slachtoffers te bereiken en misleiden.

De ransomwarefamilies die worden geassocieerd met of geïmplementeerd door gecrackte versies van Cobalt Strike, zijn gekoppeld aan meer dan 68 ransomware-aanvallen die een impact hebben op Gezond­heids­zorgorganisaties in meer dan 19 landen over de hele wereld. Deze aanvallen hebben ziekenhuissystemen miljoenen dollars aan herstel- en reparatiekosten gekost, plus onderbrekingen in kritieke patiëntenzorg, waaronder vertraagde diagnose-, beeldvormings- en laboratoriumresultaten, geannuleerde medische procedures en vertragingen in chemotherapiebehandelingen, om maar een paar voorbeelden te noemen.

Wereldwijde verspreiding van gecrackte versies van Cobalt Strike
Microsoft-gegevens die de wereldwijde verspreiding van computers geïnfecteerd door gecrackte versies van Cobalt Strike weergeven.

Op 31 maart 2023 deed de United States District Court for the Eastern District of New York een rechterlijke uitspraak die Microsoft, Fortra en Health-ISAC toestaat de schadelijke infrastructuur te verstoren die door criminelen wordt gebruikt om hun aanvallen te faciliteren. Zo kunnen we relevante Internet Service Providers (ISP's) en Computer Emergency Readiness Teams (CERT's) op de hoogte stellen, die helpen de infrastructuur offline te brengen door op effectieve wijze de verbinding te verbreken tussen criminelen en geïnfecteerde computers van slachtoffers.

De onderzoeksinspanningen van Fortra en Microsoft bestonden uit detectie, analyse, telemetrie en reverse engineering, met aanvullende gegevens en inzichten om onze rechtszaak te versterken afkomstig van een wereldwijd netwerk van partners, waaronder Health-ISAC, het Fortra Cyber Intelligence Team en het Microsoft Bedreigingsinformatie-team. Onze actie is uitsluitend gefocust op het verstoren van gecrackte, verouderde versies van Cobalt Strike en gecompromitteerde Microsoft-software.

Microsoft is ook een legale methode aan het uitbreiden die met succes wordt gebruikt om malware en nation-state activiteiten te verstoren om het misbruik van beveiligingstools door een breed spectrum van cybercriminelen aan te pakken. Het verstoren van gecrackte verouderde versies van Cobalt Strike zal de inkomstengeneratie van deze illegale versies aanzienlijk belemmeren en hun gebruik in cyberaanvallen vertragen, waardoor criminelen worden gedwongen hun tactieken opnieuw te evalueren en veranderen. De hedendaagse actie omvat ook auteursrechtclaims tegen het kwaadwillige gebruik van de softwarecode van Microsoft en Fortra, die wordt gewijzigd en misbruikt om schade aan te richten.

Fortra heeft aanzienlijke stappen genomen om het misbruik van zijn software te voorkomen, waaronder strenge klantscreeningspraktijken. Criminelen staan er echter om bekend oudere versies van beveiligingssoftware te stelen, waaronder Cobalt Strike, en gecrackte versies te maken om backdoor-toegang tot computers te krijgen en malware te implementeren. We hebben gezien dat ransomware-aanvallers gecrackte versies van Cobalt Strike en misbruikte Microsoft-software gebruiken om Conti, LockBit en andere ransomware te implementeren als onderdeel van het Ransomware-as-a-Service bedrijfsmodel.

Bedreigingsactoren gebruiken gecrackte versies van software om hun ransomware-implementatie op gecompromitteerde netwerken te versnellen. Het onderstaande diagram toont een aanvalsstroom, waarbij bijdragende factoren worden benadrukt, waaronder spearphishing- en schadelijke spam-mails om initiële toegang te krijgen, evenals het misbruik van code die is gestolen van bedrijven zoals Microsoft en Fortra.

Diagram van aanvalsstroom van bedreigingsactor
Voorbeeld van een aanvalsstroom van bedreigingsactor DEV-0243.
Microsoft Digital Defense
Uitgelicht

Microsoft Digital Defense Report 2023: Cyberweerbaarheid opbouwen

De laatste editie van het Microsoft Digital Defense Report verkent het zich steeds verder ontwikkelende bedreigingslandschap en doorloopt mogelijkheden en uitdagingen die we tegenkomen als we cyberweerbaarheid opbouwen.
Meer informatie

Hoewel de exacte identiteiten van degenen die de criminele activiteiten uitvoeren momenteel niet bekend zijn, hebben we over de hele wereld schadelijke infrastructuur gedetecteerd, waaronder in China, de Verenigde Staten en Rusland. Naast financieel gemotiveerde cybercriminelen hebben we bedreigingsactoren gezien die in het belang van buitenlandse overheden werken, waaronder van Rusland, China, Vietnam en Iran, door gecrackte versies te gebruiken.

Bij Microsoft, Fortra en Health-ISAC blijven we meedogenloos in onze pogingen de beveiliging van het ecosysteem te verbeteren, en we werken samen met de FBI Cyber Division, de National Cyber Investigative Joint Task Force (NCIJTF) en het European Cybercrime Centre (EC3) van Europol aan deze zaak. Hoewel deze actie de onmiddellijke activiteiten van de criminelen zal beïnvloeden, verwachten we helemaal dat ze zullen proberen hun inspanningen te reactiveren. Onze actie is daarom niet eenmalig. Door aanhoudende juridische en technische actie zullen Microsoft, Fortra en Health-ISAC samen met onze partners verdere criminele activiteiten, waaronder het gebruik van gecrackte versies van Cobalt Strike, blijven bewaken en actie blijven ondernemen om deze te verstoren.

Fortra besteedt aanzienlijke menselijke en rekenbronnen aan het bestrijden van het illegale gebruik van zijn software en gecrackte versies van Cobalt Strike, om klanten te helpen bepalen of hun softwarelicenties zijn gecompromitteerd. Legitieme beveiligingsprofessionals die Cobalt Strike-licenties kopen, worden gescreend door Fortra en moeten zich aan gebruiksbeperkingen en exportcontroles houden. Fortra werkt actief samen met social-media- en bestandsdelingswebsites om gecrackte versies van Cobalt Strike te verwijderen wanneer ze op die websites verschijnen. Naarmate criminelen hun technieken hebben aangepast, heeft Fortra de beveiligingscontroles in de Cobalt Strike-software aangepast om de methoden te elimineren die worden gebruikt om oudere versies van Cobalt Strike te cracken.

Zoals we al sinds 2008 doen, zal de DCU van Microsoft zijn inspanningen voortzetten om de verspreiding van malware te stoppen door civiele rechtszaken in te dienen om klanten te beschermen in het grote aantal landen over de hele wereld waar deze wetten van kracht zijn. We zullen ook met ISP's en CERT's blijven samenwerken om slachtoffers te identificeren en helpen.

Verwante artikelen

Drie manieren om jezelf te beschermen tegen ransomware

Moderne verdediging tegen ransomware vereist veel meer dan slechts het instellen van detectiemaatregelen. Ontdek de belangrijkste drie manieren om vandaag nog de beveiliging van je netwerk te versterken tegen ransomware.
Meer informatie

Ransomware-as-a-Service: Het nieuwe gezicht van geïndustrialiseerde cybercriminaliteit

Het nieuwste bedrijfsmodel van cybercriminaliteit, door mensen beheerde aanvallen, moedigt criminelen met uiteenlopende vaardigheden aan.
Meer informatie

Achter de schermen met Nick Carr, expert op het gebied van cybercriminaliteit en ransomwarebestrijding

Nick Carr, Cybercrime Intelligence Team Lead bij het Microsoft Threat Intelligence Center, behandelt ransomware-trends, legt uit wat Microsoft doet om klanten tegen ransomware te beschermen en beschrijft wat organisaties kunnen doen als ze er door zijn getroffen.
Meer informatie

Volg Microsoft Beveiliging