Evitar que los ciberdelincuentes abusen de las herramientas de seguridad
Unidad de Delitos Digitales (DCU) de Microsoft, una empresa de software de ciberseguridad Fortra™ y el Centro de Análisis e Intercambio de Información de Salud (ISAC Salud) están tomando medidas técnicas y legales para desbaratar las copias antiguas de Cobalt Strike y el software de Microsoft utilizado indebidamente que han utilizado los ciberdelincuentes para propagar malware, incluido el ransomware. Este es un cambio con respecto a la forma en que la DCU ha operado en el pasado: el alcance es más amplio y las operaciones más complejas. En lugar de interrumpir el comando y control de la familia de malware, esta vez estamos trabajando con Fortra para eliminar las copias antiguas e ilegales de Cobalt Strike para que los ciberdelincuentes ya no puedan usarlas.
Debemos ser persistentes en nuestro trabajo para eliminar las copias antiguas y rotas de Cobalt Strike alojadas en todo el mundo. Este es un paso importante tomado por Fortra para proteger el uso legítimo de sus herramientas de seguridad. Microsoft también se compromete con el uso legal de sus productos y servicios. También creemos que la selección de Fortra como socio en esta actividad es un reconocimiento al trabajo de DCU en la lucha contra el cibercrimen durante la última década. Juntos, nos comprometemos a rastrear los métodos de distribución ilegal de los ciberdelincuentes.
Cobalt Strike es una herramienta de posventa legítima y popular proporcionada por Fortra que se utiliza para simular un enemigo. A veces, los delincuentes han hecho un mal uso y han modificado versiones anteriores del software. Estas copias ilegales se denominan “crackeadas” y se han utilizado para lanzar ataques destructivos como Gobierno de Costa Rica y Director del Servicio Irlandés de Salud. Los SDK y las API de Microsoft se utilizan indebidamente como parte de la codificación de malware y la infraestructura de distribución de malware criminal para atacar y engañar a las víctimas.
Las familias de ransomware asociadas o implementadas por copias descifradas de Cobalt Strike se han relacionado con más de 68 ataques de ransomware que afectan a organizaciones de atención médica en más de 19 países de todo el mundo. Estos ataques han costado a los sistemas hospitalarios millones de dólares en costos de recuperación y reparación, así como interrupciones en los servicios de atención de pacientes críticos, incluidos diagnósticos retrasados, imágenes y resultados de laboratorio, procedimientos médicos cancelados y retrasos en la entrega de tratamientos de quimioterapia, solo por nombrar algunos.
Componentes de la perturbación y estrategia
El 31 de marzo de 2023, el Tribunal de Distrito de EE. UU. para el Distrito Este de Nueva York emitió una orden judicial que permitía a Microsoft, Fortra y Health-ISAC interrumpir la infraestructura maliciosa utilizada por los delincuentes para facilitar sus ataques. Esto nos permite notificar a los proveedores de servicios de Internet (ISP) y los equipos de respuesta a emergencias informáticas (CERT) pertinentes, que ayudan a desconectar la infraestructura, cortando efectivamente la conexión entre los delincuentes y las computadoras de las víctimas infectadas.
Los esfuerzos de investigación de Fortra y Microsoft incluyeron detección, análisis, telemetría e ingeniería inversa, así como información y datos adicionales para reforzar la demanda de una red global de socios, incluidos Health-ISAC, Fortra Cyber Intelligence Team y información del equipo de inteligencia de amenazas de Microsoft. y percepciones. Nuestras actividades se centran exclusivamente en la interrupción de Cobalt Strike crackeado, copias antiguas y software de Microsoft comprometido.
Microsoft también está ampliando un método legal utilizado con éxito para interrumpir las operaciones de malware y estados-nación para atacar el uso indebido de una variedad de herramientas de seguridad utilizadas por los ciberdelincuentes. Interrumpir copias antiguas y descifradas de Cobalt Strike evita significativamente la monetización de estas copias ilegales y ralentiza su uso en ataques cibernéticos, lo que obliga a los delincuentes a reevaluar y cambiar sus tácticas. La acción de hoy también incluye reclamos de derechos de autor contra el uso malicioso del código de software de Microsoft y Fortra, que se modifica y se usa de manera maliciosa.
Explotación por parte de los ciberdelincuentes
Fortra ha tomado medidas importantes para evitar el uso indebido de su software, incluidas políticas estrictas de investigación de antecedentes de los clientes. Sin embargo, se sabe que los delincuentes roban versiones antiguas de software de seguridad, incluido Cobalt Strike, creando copias descifradas para acceder a las máquinas a través de una puerta trasera e implementar malware. Hemos visto a operadores de ransomware usar copias descifradas de Cobalt Strike y abusar del software de Microsoft para implementar Conti, LockBit y otro ransomware como parte de ransomware como servicio modelo de negocio
Los actores de amenazas usan copias descifradas de software para acelerar la implementación de su ransomware en redes comprometidas. El siguiente diagrama muestra el flujo de ataque y destaca los factores contribuyentes, incluido el phishing selectivo y el spam malicioso para empezar, así como el uso indebido de código de empresas como Microsoft y Fortra.
Si bien actualmente se desconoce la identidad exacta de las operaciones criminales, hemos observado infraestructura maliciosa en todo el mundo, incluso en China, Estados Unidos y Rusia. Además de ciberdelincuentes motivados financieramente, hemos observado a actores de amenazas que actúan en interés de gobiernos extranjeros de países como Rusia, China, Vietnam e Irán utilizando copias descifradas.
Continuemos la lucha contra los actores de amenazas
Microsoft, Fortra y Health-ISAC continúan con sus incansables esfuerzos para mejorar la seguridad del ecosistema, y en este caso estamos trabajando con la División Cibernética del FBI, la Fuerza de Tarea Conjunta de Investigación Cibernética Nacional (NCIJTF) y el Cibercrimen Europeo de Europol. Centro (EC3). . Si bien esta medida afectará las operaciones inmediatas de los delincuentes, esperamos que intenten revivir sus esfuerzos. Así que nuestro trabajo no es uno y está hecho. A través de acciones legales y técnicas en curso, Microsoft, Fortra y Health-ISAC, junto con nuestros socios, continuarán monitoreando y tomando medidas para interrumpir otras actividades delictivas, incluido el uso de copias descifradas de Cobalt Strike.
Fortra dedica importantes recursos informáticos y humanos a combatir el uso ilegal de su software y las copias descifradas de Cobalt Strike, ayudando a los clientes a determinar si sus licencias de software se han visto comprometidas. Fortra examina a los profesionales de seguridad legítimos que compran licencias de Cobalt Strike y deben cumplir con las restricciones de uso y las restricciones de exportación. Fortra trabaja activamente con las redes sociales y los sitios de intercambio de archivos para eliminar las copias descifradas de Cobalt Strike cuando aparecen en estas propiedades en línea. Dado que los delincuentes han adaptado sus técnicas, Fortra ha adaptado los controles de seguridad del software Cobalt Strike para eliminar los métodos utilizados para descifrar versiones anteriores de Cobalt Strike.
Como lo hemos hecho desde 2008, la DCU de Microsoft continúa sus esfuerzos para evitar la propagación de malware mediante la presentación de demandas civiles para proteger a los clientes en los muchos países del mundo donde se aplican estas leyes. También continuamos trabajando con ISP y CERT para identificar y remediar a las víctimas.
Pionero de las redes sociales. Defensor de Internet. Gurú de los zombis. Aficionado al café. Especialista en la web. Practicante de alimentos. Ninja musical de por vida