Trace Id is missing

Împiedicând infractorii cibernetici să abuzeze de instrumentele de securitate

Distribuiți
Un set de pictograme pe fundal portocaliu.

Unitatea Microsoft pentru investigarea infracțiunilor digitale (DCU), firma de software de securitate cibernetică Fortra™ și Health Information Sharing and Analysis Center (Health-ISAC) iau măsuri tehnice și legale pentru a întrerupe copiile moștenite, piratate ale Cobalt Strike și software-ul Microsoft abuzat, care au fost folosite de infractorii cibernetici pentru a distribui malware, inclusiv ransomware. Aceasta reprezintă o schimbare a modului în care a funcționat DCU în trecut: întinderea este mai mare, iar operațiunea mai complexă. De această dată, în loc să întrerupem centrul de comandă și control al unei familii malware, lucrăm cu Fortra pentru a elimina copiile moștenite, ilegale ale Cobalt Strike pentru a nu mai putea fi folosite de infractorii cibernetici.

Va trebui să fim persistenți în munca noastră de înlăturare a copiilor moștenite, piratate ale Cobalt Strike, găzduite în întreaga lume. Această este o acțiune Fortra importantă pentru a proteja utilizarea legitimă a instrumentelor sale de securitate. Și Microsoft se dedică în mod similar utilizării legitime a produselor și serviciilor sale. De asemenea, considerăm că alegerea Fortra de a deveni partenerii noștri în această acțiune reprezintă o recunoaștere a eforturilor depuse de DCU în lupta împotriva infracțiunilor cibernetice în ultimul deceniu. Împreună, ne angajăm să atacăm metodele de distribuție ilegale ale infractorilor cibernetici.

Cobalt Strike este un instrument legitim și popular post-exploatare, oferit de Fortra și folosit pentru simularea unui adversar. Uneori, versiunile mai vechi ale software-ului au fost abuzate și alterate de infractori. Aceste copii ilegale se numesc „piratate” și au fost folosite pentru a lansa atacuri distructive, precum cele împotriva Guvernului din Costa Rica și a Serviciului de sănătate irlandez (Irish Health Service Executive – HSE). API-urile și kiturile de dezvoltare software ale Microsoft sunt abuzate ca parte a codificării malware-ului, dar și a infrastructurii infracționale de distribuire a malware-ului, pentru a ținti și induce în eroare victimele.

Familiile ransomware asociate cu, sau implementate de, copiile piratate ale Cobalt Strike au fost conectate la peste 68 de atacuri ransomware cu impact asupra organizațiilor de sănătate în peste 19 țări din întreaga lume. Aceste atacuri au costat sistemele spitalicești milioane de dolari pentru recuperare și reparare, plus întreruperi ale serviciilor esențiale pentru pacienți, inclusiv întârzierea diagnosticării și a rezultatelor imagistice și de laborator, anularea procedurilor medicale și întârzieri în livrarea tratamentelor de chimioterapie, printre altele.

Distribuția globală a copiilor piratate ale Cobalt Strike
Datele Microsoft arătând răspândirea globală a computerelor infectate cu copii piratate ale Cobalt Strike.

Pe 31 martie 2023, instanța districtuală a Statelor Unite pentru districtul estic din New York a emis un ordin judecătoresc ce permite ca Microsoft, Fortra și Health-ISAC să întrerupă infrastructura rău intenționată folosită de infractori pentru facilitarea atacurilor. Prin acest lucru, ni se permite să notificăm furnizorii de servicii internet (ISP) și echipele de intervenție urgentă pentru computere (CERT) care ne asistă în trecerea infrastructurii offline, rupând efectiv conexiunea dintr operatorii infractori și computerele infectate ale victimelor.

Eforturile de investigare făcute de Fortra și Microsoft au inclus detectarea, analiza, telemetria și ingineria inversă, cu date și detalii suplimentare care să ne fortifice cazul juridic de la rețeaua globală de parteneri, inclusiv date și detalii de la Health-ISAC, echipa pentru investigarea amenințărilor cibernetice Fortra și echipa pentru investigarea amenințărilor Microsoft. Acțiunea noastră se concentrează doar pe întreruperea copiilor moștenite, piratate ale Cobalt Strike și a software-ului Microsoft compromis.

De asemenea, Microsoft extinde o metodă legală utilizată cu succes la întreruperea malware-ului și a operațiunilor actorilor statali pentru a viza abuzul instrumentelor de securitate folosite de o gamă largă de infractori cibernetici. Întreruperea copiilor moștenite piratate ale Cobalt Strike va împiedica monetizarea acestor copii ilegale și le va încetini utilizarea în atacurile cibernetice, forțând infractorii să reevalueze situația și să-și schimbe tacticile. Acțiunea de astăzi include și revendicări privind drepturile de autor împotriva utilizatorii rău intenționate a codului software Microsoft și Fortra, care este alterat și abuzat pentru a face rău.

Fortra a luat măsuri considerabile pentru a împiedica utilizarea abuzivă a software-ului său, inclusiv practici stricte de verificare a clienților. Cu toate acestea, se știe că infractorii fură versiuni mai vechi ale software-ului de securitate, inclusiv Cobalt Strike, creând copii piratate pentru a obține acces backdoor la mașini, unde implementează malware. Am observat că operatorii ransomware folosesc copii piratate ale Cobalt Strike și software Microsoft abuzat pentru a implementa Conti, LockBit și alt ransomware ca parte a modelului de business ransomware ca serviciu.

Actorii de amenințare folosesc copii piratate ale software-ului pentru a-și accelera implementarea ransomware pe rețelele compromise. Diagrama de mai jos arată un flux de atac, evidențiind factorii care contribuie, inclusiv phishing țintit și e-mailuri nedorite rău intenționate pentru a obține accesul inițial, precum și abuzarea de codul furat de la companii ca Microsoft și Fortra.

Diagramă cu fluxul de atac al actorului de amenințare
Exemplu al unui flux de atac al actorului de amenințare DEV-0243.
Protecție digitală Microsoft
Recomandări

Raportul de protecție digitală Microsoft 2023: Construirea rezilienței cibernetice

Cea mai recentă ediție a Raportului de protecție digitală Microsoft explorează evoluția amenințărilor și trece în revistă oportunitățile și provocările pe măsură ce ne dezvoltăm reziliența cibernetică.
Aflați mai multe

Deși nu se cunosc momentan identitățile exacte ale celor care dirijează operațiunile infracționale, am detectat infrastructură rău intenționată pe tot globul, inclusiv în China, Statele Unite ale Americii și Rusia. Pe lângă infractorii cibernetici motivați financiar, am observat și actori de amenințare care acționează în interesul unor guverne străine, inclusiv din Rusia, China, Vietnam și Iran, folosind copii piratate.

Microsoft, Fortra și Health-ISAC rămân de neclintit în eforturile noastre de îmbunătățire a securității ecosistemului și colaborăm în acest caz cu Divizia cibernetică a FBI, Grupul operativ comun național pentru investigații cibernetice (NCIJTF) și Centrul european pentru infracțiuni cibernetice al Europol (EC3). Deși această acțiune va afecta operațiunile imediate ale infractorilor, suntem convinși că vor încerca să-și reînnoiască eforturile. Prin urmare, acțiunea noastră nu este doar una și gata. Prin acțiuni tehnice și legale continue, Microsoft, Fortra și Health-ISAC, împreună cu partenerii noștri, vom continua să monitorizăm și să acționăm pentru a întrerupe operațiunile infracționale ulterioare, inclusiv utilizarea copiilor piratate ale Cobalt Strike.

Fortra dedică resurse umane și de calcul semnificative pentru a combate utilizarea ilegală a software-ului său și a copiilor piratate ale Cobalt Strike, ajutând clienții să determine dacă licențele lor software au fost compromise. Participanții legitimi din sfera securității care achiziționează licențe Cobalt Strike sunt verificați de Fortra și trebuie să se conformeze restricțiilor de utilizare și controlului exporturilor. Fortra lucrează în mod activ cu rețelele de socializare și site-urile de distribuire a fișierelor pentru a elimina copiile piratate ale Cobalt Strike atunci când apar în acele proprietăți web. Pe măsură ce infractorii și-au adaptat tehnicile, și Fortra și-a adaptat controalele de securitate din software-ul Cobalt Strike pentru a elimina metodele folosite pentru a pirata versiunile mai vechi ale Cobalt Strike.

Așa cum o facem din 2008, Microsoft DCU va depune în continuare eforturi pentru oprirea extinderii malware-ului, înregistrând litigii civile pentru a proteja clienții din multele țări din întreaga lume unde aceste legi sunt în vigoare. De asemenea, vom lucra în continuare cu furnizorii ISP și echipele CERT pentru a identifica victimele și a le remedia situația.

Articole asociate

Trei moduri prin care vă puteți proteja de ransomware

Apărarea modernă împotriva ransomware-ului necesită mai mult decât configurarea măsurilor de detectare. Descoperiți principalele trei moduri prin care puteți să vă întăriți astăzi securitatea rețelei împotriva ransomware-ului.
Aflați mai multe

Ransomware ca serviciu: Noua față a infracțiunii cibernetice industrializate

Cel mai nou model de business din domeniul infracțiunilor cibernetice, atacurile operate de oameni, încurajează infractorii cu grade diferite ale abilităților.
Aflați mai multe

În culise cu expertul în infracțiuni cibernetice și anti-ransomware Nick Carr

Nick Carr, șeful echipei de investigare a infracțiunilor cibernetice din Centrul de investigare a amenințărilor Microsoft, discută despre tendințele ransomware, explică ce face Microsoft pentru a proteja clienții de ransomware și descrie ce pot face organizațiile care au fost afectate astfel.
Aflați mai multe

Urmăriți Microsoft Security