Trace Id is missing
Перейти до основного
Security Insider

Запобігання неправомірному використанню інструментів безпеки кіберзлочинцями

Набір піктограм на жовтогарячому фоні.

Підрозділ корпорації Майкрософт із боротьби з цифровими злочинами, компанія з розробки програмного забезпечення у сфері кібербезпеки Fortra™ й Центр обміну медичною інформацією та її аналізу (Health-ISAC) уживають технічних і юридичних заходів, щоб припинити роботу "зламаних" застарілих копій Cobalt Strike і неправомірно використовуваного програмного забезпечення Microsoft, що використовуються кіберзлочинцями для поширення зловмисних програм, зокрема з вимогою викупу. Це зміна порівняно з тим, як підрозділ із боротьби з цифровими злочинами працював у минулому: збільшилась область, а операції стали складнішими. Замість того, щоб переривати командування та керування сімейством зловмисних програм, тепер ми працюємо з компанією Fortra над вилученням незаконних застарілих копій Cobalt Strike, щоб кіберзлочинці більше не могли їх використовувати.

Ми маємо бути наполегливими у своїх зусиллях щодо знищення "зламаних" застарілих копій Cobalt Strike, розміщених у всьому світі. Це важливий захід Fortra для захисту законного використання власних інструментів безпеки. Корпорація Майкрософт також прагне забезпечувати законне використання своїх продуктів і служб. Ми також вважаємо, що вибір компанією Fortra нас як партнера є визнанням роботи підрозділу з боротьби з цифровими злочинами за останнє десятиліття. Ми хочемо спільно боротися з незаконними методами поширення, які використовують кіберзлочинці.

Cobalt Strike – це законний і популярний інструмент аналізу наслідків експлойтів, який застосовується під час симуляції зловмисників та надається компанією Fortra. Іноді старі версії цього програмного забезпечення використовуються не за призначенням і змінюються зловмисниками. Ці незаконні копії називаються "зламаними" й використовуються для проведення руйнівних атак, наприклад проти уряду Коста-Ріки та виконавчої системи охорони здоров’я Ірландії. Пакети інструментів розробки та API Microsoft використовувалися неправомірно для кодування зловмисних програм і як інфраструктура поширення зловмисних програм, що дає злочинцям змогу націлюватися на жертв і вводити їх в оману.

Сімейства зловмисних програм із вимогою викупу, що належать до зламаних копій Cobalt Strike або розгорнуті ними, пов’язані з понад 68 атаками зловмисних програм із вимогою викупу, що вплинули на медичні організації в більш ніж 19 країнах у всьому світі. Ці атаки призвели до величезних витрат у мільйонах доларів на відновлення та ремонт лікарняних систем. Вони також спричинили збої в невідкладній медичній допомозі, зокрема затримки в діагностиці, візуалізації та результатах лабораторних досліджень, скасування медичних процедур і затримки в хіміотерапії.

Глобальне розповсюдження зламаних копій Cobalt Strike
Дані корпорації Майкрософт, які показують глобальне розповсюдження комп’ютерів, уражених зламаними копіями Cobalt Strike.

31 березня 2023 року Окружний суд США Східного округу Нью-Йорка випустив судове розпорядження, що дозволяє корпорації Майкрософт, компанії Fortra та Health-ISAC переривати роботу зловмисної інфраструктури, яка застосовується злочинцями для атак. Це дає нам змогу повідомляти відповідних інтернет-провайдерів і групи реагування на комп’ютерні надзвичайні ситуації, які допомагають відключити інфраструктуру від мережі, фактично перериваючи зв’язок між операторами, залученими до злочину, та ураженими комп’ютерами жертв.

Дослідницькі зусилля Fortra та корпорації Майкрософт охоплювали виявлення, аналіз, телеметрію й зворотну розробку. Щоб підкріпити нашу справу, ми додали додаткові дані та інформацію від глобальної мережі партнерів, зокрема Health-ISAC, команди аналізу кіберзагроз Fortra й команди аналізу загроз Microsoft. Наші дії спрямовані виключно на припинення роботи зламаних застарілих копій Cobalt Strike і ураженого програмного забезпечення Microsoft.

Корпорація Майкрософт також розробляє законодавчу базу, яка успішно використовується для припинення роботи зловмисних програм і державних операцій, спрямованих на неправомірне використання інструментів безпеки широким колом кіберзлочинців. Припинення роботи зламаних застарілих копій Cobalt Strike значно обмежить монетизацію цих незаконних копій і сповільнить їх використання для кібератак, змусивши злочинців переоцінити та змінити свою тактику. Поточний позов також включає претензії щодо авторських прав через зловмисне використання програмного коду Microsoft і Fortra, який було змінено та використано для заподіяння шкоди.

Компанія Fortra вжила важливих заходів для запобігання неналежного використання програмного забезпечення, зокрема запровадила суворі методики перевірки клієнтів. Однак відомо, що зловмисники викрадають старі версії програм безпеки, зокрема Cobalt Strike, і створюють зламані копії, щоб отримати доступ до комп’ютерів через люк для обходу системи безпеки та розгорнути зловмисні програми. Ми спостерігали, що оператори зловмисних програм із вимогою викупу використовують зламані копії Cobalt Strike і неправомірно застосовують програмне забезпечення Microsoft для розгортання Conti, LockBit та інших зловмисних програм із вимогою викупу в рамках бізнес-моделі "Зловмисна програма з вимогою викупу як послуга".

Джерела загрози використовують зламані копії програмного забезпечення, щоб пришвидшити розгортання зловмисних програм із вимогою викупу в уражених мережах. На схемі нижче зображено цикл атаки та виділено важливі фактори, зокрема цільовий фішинг і електронні листи зі зловмисним спамом для отримання вихідного доступу, а також неправомірне використання коду, украденого у таких компаній, як Майкрософт і Fortra.

Схема циклу атаки від джерела загрози
Приклад циклу атаки від джерела загрози DEV-0243.
Цифровий захист Microsoft
Рекомендовано

Звіт про цифровий захист Microsoft 2023: Забезпечення стійкості до кіберзагроз

В останньому випуску Звіту про цифровий захист Microsoft досліджується мінлива картина загроз і обговорюються можливості та проблеми на шляху до кіберстійкості.

Хоча точні особи тих, хто керує злочинними операціями, наразі невідомі, ми виявили зловмисну інфраструктуру в усьому світі, зокрема Китаї, США та Росії. Окрім фінансово мотивованих кіберзлочинців, ми виявили джерела загрози, які діють в інтересах іноземних урядів, зокрема Росії, Китаю, В’єтнаму та Ірану, використовуючи зламані копії.

Корпорація Майкрософт, Fortra та Health-ISAC невпинно докладають зусиль для покращення безпеки екосистеми. Ми співпрацюємо з цього питання з кіберпідрозділом ФБР, Національною об’єднаною оперативною групою з кіберрозслідувань (NCIJTF) і Європейським центром боротьби з кіберзлочинністю (EC3) Європолу. Цей захід вплине на безпосередню діяльність злочинців, але ми повністю готові до того, що вони спробують відновити свої зусилля. Тому на цьому наші дії не завершуються. Завдяки постійним юридичним і технічним заходам корпорація Майкрософт, Fortra та Health-ISAC разом із партнерами продовжуватимуть відстеження та вживатимуть заходів для перешкоджання подальшим діям злочинців, зокрема використанню зламаних копій Cobalt Strike.

Компанія Fortra виділяє значні обчислювальні та людські ресурси для боротьби з незаконним використанням її програмного забезпечення та зламаних копій Cobalt Strike, допомагаючи клієнтам визначити, чи уражено ліцензії їхніх програм. Фахівці з безпеки, які на законних підставах отримують ліцензії Cobalt Strike, перевіряються компанією Fortra та повинні дотримуватися обмежень щодо використання й експортного контролю. Компанія Fortra активно працює із соцмережами та сайтами для обміну файлами, щоб вилучати зламані копії Cobalt Strike, коли вони там з’являються. Оскільки злочинці змінили свої методики, компанія Fortra адаптувала елементи керування безпекою в програмному забезпеченні Cobalt Strike, щоб усунути методи, що використовуються для зламу старих версій Cobalt Strike.

Підрозділ корпорації Майкрософт із боротьби з цифровими злочинами продовжуватиме розпочату в 2008 році роботу з припинення поширення зловмисних програм, подаючи цивільні позови та захищаючи клієнтів у багатьох країнах світу, де діють такі закони. Ми також продовжимо працювати з інтернет-провайдерами та CERT, щоб виявляти постраждалих і виправляти їхні системи.

Пов’язані статті

Три способи захисту від зловмисних програм із вимогою викупу

Для захисту від сучасних зловмисних програм із вимогою викупу потрібно більше, ніж просто налаштувати засоби виявлення загроз. Дізнайтеся три найпопулярніші способи підвищити захист мережі від зловмисних програм із вимогою викупу вже сьогодні.

Зловмисна програма з вимогою викупу як послуга: новий тип промислових кіберзлочинів

Нова бізнес-модель кіберзлочинів – атаки під керівництвом людини – орієнтована на злочинців із різними навичками.

За лаштунками з експертом із кіберзлочинів і протидії зловмисним програмам із вимогою викупу Ніком Карром

Керівник групи з питань аналізу кіберзлочинів Центру аналізу загроз Microsoft Нік Карр обговорює тенденції зловмисних програм із вимогою викупу, пояснює, як корпорація Майкрософт захищає клієнтів від них, а також описує можливі дії організацій у разі, якщо вони постраждали від таких атак.

Підпишіться на новини про Захисний комплекс Microsoft