Trace Id is missing

Impedir cibercriminosos de utilizarem ferramentas de segurança de forma abusiva

Partilhar
Um conjunto de ícones sobre um fundo cor de laranja.

A Unidade de Crimes Digitais da Microsoft (DCU), a empresa de software de cibersegurança Fortra™ e o Centro de Análise e Partilha de Informações de Saúde (Health-ISAC), estão a tomar medidas técnicas e legais para interromper as cópias legadas pirateadas do Cobalt Strike e o software da Microsoft utilizado de forma abusiva, que têm sido utilizados por cibercriminosos para distribuir malware, incluindo ransomware. Trata-se de uma mudança na forma como a DCU trabalhou no passado, pois o âmbito é maior e a operação é mais complexa. Desta vez, em vez de interromper o comando e o controlo de uma família de malware, estamos a trabalhar com a Fortra para remover cópias ilegais e legadas do Cobalt Strike, para que deixem de poder ser utilizadas pelos cibercriminosos.

Teremos que ser persistentes enquanto trabalhamos para eliminar as cópias pirateadas e legadas do Cobalt Strike alojadas em todo o mundo. Trata-se de uma ação importante por parte da Fortra para proteger a utilização legítima das suas ferramentas de segurança. A Microsoft está igualmente empenhada na utilização legítima dos seus produtos e serviços. Acreditamos também que a escolha, por parte da Fortra, de estabelecer uma parceria connosco para esta ação, é um reconhecimento do trabalho da DCU na luta contra o cibercrime ao longo da última década. Juntos, estamos empenhados em combater os métodos de distribuição ilegal dos cibercriminosos.

O Cobalt Strike é uma ferramenta legítima e popular de pós-exploração, utilizada para simulação de adversários fornecida pela Fortra. Por vezes, versões mais antigas do software foram vítimas de utilização abusiva e alteradas por criminosos. Estas cópias ilegais são designadas como "pirateadas" e têm sido utilizadas para lançar ataques destrutivos, como os efetuados contra o Governo da Costa Rica e o Executivo do Serviço de Saúde Irlandês. Os Software Development Kits e as API da Microsoft são utilizados de forma abusiva como parte da codificação do malware, bem como da infraestrutura de distribuição de malware criminoso para visar e enganar as vítimas.

As famílias de ransomware relacionadas ou implementadas por cópias pirateadas do Cobalt Strike, foram associadas a mais de 68 ataques de ransomware que afetaram organizações de cuidados de saúde em mais de 19 países em todo o mundo. Estes ataques custaram aos sistemas hospitalares milhões de dólares em custos de recuperação e reparação, para além de terem causado interrupções nos serviços críticos de cuidados aos pacientes, incluindo atrasos nos resultados de diagnósticos, imagiologia e laboratório, cancelamento de procedimentos médicos e atrasos na prestação de tratamentos de quimioterapia, só para citar alguns exemplos.

Distribuição global de cópias pirateadas do Cobalt Strike
Dados da Microsoft que mostram a propagação global de computadores infetados por cópias pirateadas do Cobalt Strike.

Em 31 de março de 2023, o Tribunal Distrital do Distrito Leste de Nova Iorque, dos EUA, emitiu uma ordem judicial que permite à Microsoft, à Fortra e ao Health-ISAC interromper a infraestrutura maliciosa utilizada pelos criminosos para viabilizar os seus ataques. Ao fazê-lo, permite-nos notificar os fornecedores de serviços Internet (ISP) e as equipas de preparação de emergência informática (CERT) relevantes, que ajudam a colocar a infraestrutura offline, cortando efetivamente a ligação entre os operadores criminosos e os computadores das vítimas infetadas.

Os esforços de investigação da Fortra e da Microsoft incluíram deteção, análise, telemetria e engenharia inversa, com dados e conhecimentos adicionais para reforçar o nosso caso jurídico a partir de uma rede global de parceiros, incluindo o Health-ISAC, a Equipa de Informações sobre Ameaças da Fortra e os dados e conhecimentos da equipa de Informações sobre Ameaças da Microsoft. A nossa ação centra-se exclusivamente na interrupção de cópias legadas pirateadas do Cobalt Strike e de software da Microsoft comprometido.

A Microsoft está também a expandir um método legal, utilizado com sucesso para interromper operações de malware e de estados-nação, para visar a utilização abusiva de ferramentas de segurança utilizadas por um vasto espetro de cibercriminosos. A interrupção das cópias legadas pirateadas do Cobalt Strike dificultará significativamente a monetização destas cópias ilegais e abrandará a sua utilização em ciberataques, obrigando os criminosos a reavaliar e a alterar as suas táticas. A ação de hoje inclui também reivindicações de direitos de autor contra a utilização maliciosa do código de software da Microsoft e da Fortra, que são alterados e utilizados de forma abusiva para causar danos.

A Fortra tomou medidas consideráveis para evitar a utilização indevida do seu software, incluindo práticas rigorosas de verificação dos clientes. No entanto, os criminosos são conhecidos por roubar versões mais antigas de software de segurança, incluindo o Cobalt Strike, criando cópias pirateadas para obter acesso backdoor a máquinas e implementar malware. Temos observado operadores de ransomware a utilizar cópias pirateadas do Cobalt Strike e software Microsoft utilizado de forma abusiva para implementar o Conti, LockBit e outro ransomware como parte do modelo de negócio de ransomware como serviço.

Os atores de ameaças utilizam cópias pirateadas de software para acelerar a implementação de ransomware em redes comprometidas. O diagrama abaixo mostra um fluxo de ataque, destacando os fatores que contribuem para o mesmo, incluindo ataques spear phishing e e-mails de lixo maliciosos para obter acesso inicial, bem como a utilização abusiva de código roubado de empresas como a Microsoft e a Fortra.

Diagrama do fluxo de ataque do ator de ameaças
Exemplo de um fluxo de ataque pelo ator de ameaças DEV-0243.
Defesa Digital da Microsoft
Destaques

Relatório de defesa digital da Microsoft 2023: Criar ciber-resiliência

A edição mais recente do Relatório de defesa digital da Microsoft explora o panorama de ameaças em evolução e explica as oportunidades e os desafios à medida que nos tornamos ciber-resilientes.
Saiba mais

Embora as identidades exatas dos responsáveis pelas operações criminosas sejam atualmente desconhecidas, detetámos uma infraestrutura maliciosa em todo o mundo, incluindo na China, nos Estados Unidos e na Rússia. Para além dos cibercriminosos com motivações financeiras, temos observado atores de ameaças a agir no interesse de governos estrangeiros, incluindo da Rússia, China, Vietname e Irão, através da utilização de cópias pirateadas.

A Microsoft, a Fortra e o Health-ISAC continuam incansáveis nos nossos esforços para melhorar a segurança do ecossistema e estamos a colaborar com a Divisão Cibernética do FBI, a Task Force Conjunta Nacional de Investigação Cibernética (NCIJTF) e o Centro Europeu de Cibercrime da Europol (EC3) neste caso. Embora esta ação tenha impacto nas operações imediatas dos criminosos, prevemos plenamente que eles tentarão reavivar os seus esforços. A nossa ação não é, portanto, uma ação única. Através de ações legais e técnicas contínuas, a Microsoft, a Fortra e o Health-ISAC, juntamente com os nossos parceiros, continuarão a monitorizar e a tomar medidas para interromper outras operações criminosas, incluindo a utilização de cópias pirateadas do Cobalt Strike.

A Fortra dedica recursos informáticos e humanos significativos para combater a utilização ilegal do seu software e das cópias pirateadas do Cobalt Strike, ajudando os clientes a determinar se as suas licenças de software foram comprometidas. Os profissionais de segurança legítimos que adquirem licenças do Cobalt Strike são avaliados pela Fortra e são obrigados a cumprir as restrições de utilização e os controlos de exportação. A Fortra trabalha ativamente com as redes sociais e os sites de partilha de ficheiros para remover cópias pirateadas do Cobalt Strike, quando estas aparecem nessas propriedades Web. À medida que os criminosos adaptaram as suas técnicas, a Fortra adaptou os controlos de segurança no software Cobalt Strike para eliminar os métodos utilizados para piratear versões mais antigas do Cobalt Strike.

Tal como temos feito desde 2008, a DCU da Microsoft continuará os seus esforços para travar a propagação de software malicioso, interpondo ações judiciais civis para proteger os clientes no grande número de países em todo o mundo onde essas leis estão em vigor. Continuaremos também a trabalhar com os ISP e os CERT para identificar e remediar as vítimas.

Artigos relacionados

Três formas de se proteger contra o ransomware

A defesa de ransomware moderna requer muito mais do que a simples configuração de medidas de deteção. Descubra as principais três formas de como pode proteger a segurança da sua rede contra ransomware hoje.
Saiba mais

Ransomware como serviço: A nova face do cibercrime industrializado

O modelo de negócio mais recente do cibercrime, ataques operados por seres humanos, encoraja criminosos de vários níveis de competência.
Saiba mais

Nos bastidores com o especialista em cibercrime e contra ransomware, Nick Carr

Nick Carr, Líder de Equipa de Inteligência de Cibercrime no Centro de Informações sobre Ameaças da Microsoft, falta de tendências de ransomware, explica o que a Microsoft está a fazer para proteger os clientes de ransomware e descreve o que as organizações podem fazer se tiverem sido afetadas.
Saiba mais

Siga o Microsoft Security