Wielka Brytania Narodowa Agencja ds. Przestępczości (NCA) wspólnie z agencjami partnerskimi z całego świata, w tym FBI i agencjami z Australii, Kanady i Unia Europejskapodjęła szereg działań egzekucyjnych przeciwko użytkownikom narzędzia do testów penetracyjnych Cobalt Strike, którzy wykorzystywali je w celu prowadzenia działalności cyberprzestępczej.
Operacja Morpheus podjęła działania w zeszłym tygodniu przeciwko 690 indywidualnym przypadkom Cobalt Strike u 129 dostawców usług internetowych (ISP) w prawie 30 krajach. W chwili pisania tego tekstu koalicja NCA skutecznie zneutralizowała 593 z tych złośliwych przypadków poprzez połączenie wyłączania samych serwerów i powiadamiania dostawców usług internetowych, że hostują złośliwe oprogramowanie, aby skłonić ich do podjęcia działań.
Chociaż Cobalt Strike jest sprzedawany i używany legalnie przez wielu, w rzeczywistości jest obecnie własnością Fortra – na przestrzeni lat od momentu jego stworzenia przez dewelopera Raphaela Mudge’a stał się również narzędzie do którego się uciekasz dla cyberprzestępców planujących przeprowadzenie cyberataku.
Dla takich osób stosunkowo łatwo jest zdobyć pirackie lub nielicencjonowane wersje albo złamać starsze wersje Cobalt Strike i wykorzystać ich możliwości do szybkiej infiltracji systemów informatycznych i sieci swoich ofiar oraz przeprowadzania ataków ransomware i innych cyberataków.
W związku z tym, jak twierdzi NCA, nielegalna wersja Cobalt Strike była wykorzystywana w niektórych z największych cyberataków ostatnich lat, a także przez wiele gangów zajmujących się oprogramowaniem ransomware, w tym Ryuk i Conti.
„Chociaż Cobalt Strike jest legalnym oprogramowaniem, niestety cyberprzestępcy wykorzystują jego użycie do nikczemnych celów” — powiedział dyrektor ds. przywództwa w zakresie zagrożeń w NCA, Paul Foster. „Nielegalne wersje oprogramowania pomogły obniżyć barierę wejścia do cyberprzestępczości, ułatwiając internetowym przestępcom przeprowadzanie szkodliwych ataków ransomware i malware przy niewielkiej lub żadnej wiedzy technicznej. Takie ataki mogą kosztować firmy miliony pod względem strat i odzyskiwania.
„Międzynarodowe zakłócenia, takie jak te, są najskuteczniejszym sposobem na zdegradowanie najbardziej szkodliwych cyberprzestępców, poprzez usunięcie narzędzi i usług, które stanowią podstawę ich działalności. Wzywam wszystkie firmy, które mogły paść ofiarą cyberprzestępczości, do zgłaszania takich incydentów organom ścigania”.
Jak mogę zapobiec użyciu przeciwko mnie narzędzia Cobalt Strike?
Podobnie jak w przypadku wielu narzędzi wykorzystywanych przez cyberprzestępców, główną bronią, jaką specjaliści ds. IT i bezpieczeństwa mogą wykorzystać w walce z Cobalt Strike, jest zwracanie uwagi na podstawowe zasady higieny cyberbezpieczeństwa i komunikowanie ich w swojej organizacji.
Cobalt Strike zwykle dociera za pośrednictwem phishing ukierunkowany lub spam e-mail próbujący nakłonić potencjalną ofiarę do kliknięcia łącza lub otwarcia złośliwego załącznika – który następnie instaluje sygnalizator Cobalt Strike, dając cyberprzestępcy zdalny dostęp do naruszonego systemu, aby mógł on rozpocząć pracę. Dlatego wdrażanie i egzekwowanie zabezpieczeń poczty e-mail środki i polityki jest pierwszą i najlepszą opcją.
Ponadto firma Fortra zobowiązała się do dalszej współpracy z organami ścigania i branżą bezpieczeństwa w celu identyfikowania i usuwania starszych wersji oprogramowania z Internetu.