Cobalt Strike en misbruikte Microsoft-software worden aangepakt

Microsoft meldt: 'Dit is een verandering in de manier waarop DCU in het verleden werkte: de reikwijdte is groter en de operatie is complexer. In plaats van de opdracht en controle van een malwarefamilie te verstoren, werken we deze keer samen met Fortra om illegale, verouderde exemplaren van Cobalt Strike te verwijderen, zodat ze niet langer door cybercriminelen kunnen worden gebruikt.

We zullen volhardend moeten zijn terwijl we werken aan het verwijderen van de gekraakte, oude exemplaren van Cobalt Strike die over de hele wereld worden gehost. Dit is een belangrijke actie van Fortra om het legitieme gebruik van haar beveiligingstools te beschermen. Microsoft zet zich eveneens in voor het legitieme gebruik van haar producten en diensten. We zijn ook van mening dat de keuze van Fortra om met ons samen te werken voor deze actie een erkenning is van het werk van DCU in de strijd tegen cybercriminaliteit in de afgelopen tien jaar. Samen zetten we ons in om de illegale distributiemethoden van cybercriminelen aan te pakken.

Cobalt Strike is een legitieme en populaire post-exploitatietool die wordt gebruikt voor simulatie van tegenstanders, geleverd door Fortra. Soms zijn oudere versies van de software misbruikt en gewijzigd door criminelen. Deze illegale kopieën worden "gekraakt" genoemd en zijn gebruikt om destructieve aanvallen uit te voeren, zoals die tegen de regering van Costa Rica en de Irish Health Service Executive . Softwareontwikkelingskits en API's van Microsoft worden misbruikt als onderdeel van de codering van de malware, evenals de infrastructuur voor de distributie van criminele malware om slachtoffers te targeten en te misleiden.

De ransomwarefamilies die verband houden met of worden ingezet door gekraakte exemplaren van Cobalt Strike zijn in verband gebracht met meer dan 68 ransomware-aanvallen die gezondheidszorgorganisaties in meer dan 19 landen over de hele wereld hebben getroffen. Deze aanvallen hebben ziekenhuissystemen miljoenen dollars gekost aan herstel- en reparatiekosten, plus onderbrekingen van kritieke patiëntenzorgdiensten, waaronder vertraagde diagnostische, beeldvormings- en laboratoriumresultaten, geannuleerde medische procedures en vertragingen bij de levering van chemotherapiebehandelingen, om er maar een paar te noemen.

Disruptiecomponenten en strategie

Op 31 maart 2023 vaardigde de Amerikaanse districtsrechtbank voor het oostelijke district van New York een gerechtelijk bevel uit waardoor Microsoft, Fortra en Health-ISAC de kwaadaardige infrastructuur konden verstoren die door criminelen wordt gebruikt om hun aanvallen te vergemakkelijken. Hierdoor kunnen we relevante internetserviceproviders (ISP's) en computer emergency readiness teams (CERT's) op de hoogte stellen die helpen bij het offline halen van de infrastructuur, waardoor de verbinding tussen criminele operators en geïnfecteerde slachtoffercomputers effectief wordt verbroken.

De onderzoeksinspanningen van Fortra en Microsoft omvatten detectie, analyse, telemetrie en reverse engineering, met aanvullende gegevens en inzichten om onze juridische zaak te versterken vanuit een wereldwijd netwerk van partners, waaronder Health-ISAC, het Fortra Cyber ​​Intelligence Team en Microsoft Threat Intelligence-teamgegevens en inzichten. Onze actie is uitsluitend gericht op het verstoren van gekraakte, oude kopieën van Cobalt Strike en gecompromitteerde Microsoft-software.

Microsoft breidt ook een legale methode uit die met succes wordt gebruikt om malware en operaties van nationale staten te verstoren om misbruik van beveiligingstools die door een breed spectrum van cybercriminelen worden gebruikt, aan te pakken. Het verstoren van gekraakte legacy-kopieën van Cobalt Strike zal het genereren van inkomsten met deze illegale kopieën aanzienlijk belemmeren en het gebruik ervan bij cyberaanvallen vertragen, waardoor criminelen gedwongen worden hun tactiek opnieuw te evalueren en te wijzigen. De actie van vandaag omvat ook auteursrechtclaims tegen het kwaadwillige gebruik van de softwarecode van Microsoft en Fortra die zijn gewijzigd en misbruikt voor schade.

Misbruik door cybercriminelen

Fortra heeft aanzienlijke maatregelen genomen om misbruik van haar software te voorkomen, waaronder strikte controleprocedures voor klanten. Het is echter bekend dat criminelen oudere versies van beveiligingssoftware stelen, waaronder Cobalt Strike, waarbij ze gekraakte kopieën maken om achterdeurtoegang tot machines te krijgen en malware in te zetten. We hebben waargenomen dat ransomware-operators gekraakte kopieën van Cobalt Strike gebruikten en Microsoft-software misbruikten om Conti, LockBit en andere ransomware in te zetten als onderdeel van het ransomware-as-a-service- bedrijfsmodel.

Bedreigers gebruiken gekraakte kopieën van software om hun ransomware-implementatie op gecompromitteerde netwerken te versnellen. Het onderstaande diagram toont een aanvalsstroom, met de nadruk op bijdragende factoren, waaronder spear phishing en kwaadaardige spam-e-mails om initiële toegang te krijgen, evenals misbruik van code die is gestolen van bedrijven als Microsoft en Fortra.

Hoewel de exacte identiteit van degenen die de criminele operaties uitvoeren momenteel onbekend is, hebben we overal ter wereld kwaadaardige infrastructuur ontdekt, ook in China, de Verenigde Staten en Rusland. Naast financieel gemotiveerde cybercriminelen hebben we gekraakte kopieën waargenomen die handelen in het belang van buitenlandse regeringen, onder meer uit Rusland, China, Vietnam en Iran.

Voortzetting van de strijd tegen bedreigingsactoren

Microsoft, Fortra en Health-ISAC blijven onophoudelijk in hun inspanningen om de veiligheid van het ecosysteem te verbeteren, en we werken samen met de FBI Cyber ​​Division, National Cyber ​​Investigative Joint Task Force (NCIJTF) en Europol's European Cybercrime Centre (EC3) in deze zaak . Hoewel deze actie gevolgen zal hebben voor de onmiddellijke operaties van de criminelen, verwachten we volledig dat ze zullen proberen hun inspanningen nieuw leven in te blazen. Onze actie is dan ook niet één en al gedaan. Door middel van voortdurende juridische en technische maatregelen zullen Microsoft, Fortra en Health-ISAC, samen met onze partners, toezicht blijven houden en actie blijven ondernemen om verdere criminele operaties te verstoren, waaronder het gebruik van gekraakte kopieën van Cobalt Strike.

Fortra zet aanzienlijke computer- en personele middelen in om het illegale gebruik van zijn software en gekraakte kopieën van Cobalt Strike te bestrijden, om klanten te helpen bepalen of hun softwarelicenties in gevaar zijn gebracht. Legitieme beveiligingsbeambten die Cobalt Strike-licenties kopen, worden doorgelicht door Fortra en moeten zich houden aan gebruiksbeperkingen en exportcontroles. Fortra werkt actief samen met sociale media en sites voor het delen van bestanden om gekraakte kopieën van Cobalt Strike te verwijderen wanneer ze op die webeigendommen verschijnen. Omdat criminelen hun technieken hebben aangepast, heeft Fortra de beveiligingscontroles in de Cobalt Strike-software aangepast om de methoden te elimineren die worden gebruikt om oudere versies van Cobalt Strike te kraken.

Net als sinds 2008 zal de DCU van Microsoft zijn inspanningen voortzetten om de verspreiding van malware te stoppen door civiele rechtszaken aan te spannen om klanten te beschermen in het grote aantal landen over de hele wereld waar deze wetten van kracht zijn. We zullen ook blijven samenwerken met ISP's en CERT's om slachtoffers te identificeren en te verhelpen.'