Les acteurs de la menace qui exploitent des versions piratées de l’outil de test d’intrusion Cobalt Strike sont confrontés à de nouveaux défis alors que Microsoft, Fortra et le Health Information Sharing and Analysis Center (Health-ISAC) intensifient leurs efforts pour réduire les instances de l’outil logiciel disponibles en téléchargement sur les sites warez et les réseaux qui les hébergent.
Les versions fourchues du logiciel Cobalt Strike ont proliféré parmi les cybercriminels et sont attribuées à un fléau d’attaques de logiciels malveillants. Cobalt Strike est utilisé par les professionnels de la sécurité pour simuler une attaque contradictoire contre la surface d’attaque d’une entreprise. L’outil respecté, largement utilisé par les professionnels de la sécurité de l’équipe rouge, a été coopté par des criminels qui utilisent le logiciel dans un nombre croissant de cyberattaques.
“Notre action se concentre uniquement sur la perturbation des copies héritées et piratées de Cobalt Strike et des logiciels Microsoft compromis”, a écrit Amy Hogan-Burney, directrice générale de l’unité des crimes numériques de Microsoft dans un blog posté jeudi otutjejenjeng l’effort.
Dans le cadre de cet effort, les entreprises et Health-ISAC ont obtenu une ordonnance du tribunal le 31 mars du tribunal de district américain du district oriental de New York qui autorise Microsoft, Fortra et Health-ISAC à travailler avec des fournisseurs de services Internet et des ordinateurs. les équipes de préparation aux situations d’urgence (CERT) qui peuvent aider à mettre hors ligne l’infrastructure utilisée par les cybercriminels pour distribuer des copies illégales de Cobalt Strike.
“Ensemble, nous nous engageons à lutter contre les méthodes de distribution illégales des cybercriminels”, ont déclaré les responsables de Microsoft dans l’annonce. “Nous devrons faire preuve de persévérance alors que nous nous efforçons de supprimer les anciennes copies fissurées de Cobalt Strike hébergées dans le monde entier.”
L’ordonnance du tribunal, a déclaré Hogan-Burney, stimulera les efforts d’enquête qui incluent la détection, l’analyse, la télémétrie et l’ingénierie inverse. Des données et des informations supplémentaires aideront à renforcer les affaires juridiques connexes, a-t-elle déclaré.
Microsoft, Fortra et Health-ISAC ont également déclaré que, dans le cadre de leurs efforts accrus, ils collaboreront avec le FBI, le National Cyber Investigative Joint Task Force et le Centre européen de lutte contre la cybercriminalité d’Europol sur des affaires connexes.
Microsoft a déclaré que les anciennes versions de l’outil de test de stylet continuent d’être “abusées et modifiées” par les cybercriminels. Les copies «crackées» ou illégales, par exemple, étaient à l’origine d’attaques destructrices contre le gouvernement costaricien et de l’attaque massive contre l’Irish Health Service Executive (HSE).
Une approche différente pour freiner les attaques de ransomwares
Au total, les familles de ransomwares liées à des copies illégales de Cobalt Strike ont été utilisées dans 68 attaques de ransomwares contre des organisations de santé dans plus de 19 pays, a cité Microsoft.
Un exemple a été vu avec une attaque contre l’Irlande HSE. L’attaque a entraîné plus de cinq mois de pannes de réseau qui ont entraîné l’exfiltration de données, des retards de soins aux patients, des interruptions de soins d’urgence et des annulations de rendez-vous. La cyberattaque aurait coûté plus de 600 millions de dollars. Les attaques contre d’autres systèmes de santé utilisant Cobalt Strike ont subi des impacts similaires aux retombées du HSE en Irlande.
La tactique consistant à s’attaquer à la distribution de copies illicites de l’outil logiciel est un changement par rapport aux efforts de perturbation passés qui ciblaient les centres de commande et de contrôle des pirates malveillants. Un exemple en est le démantèlement du botnet Zloader par Microsoft, ESET, Black Lotus Labs, Palo Alto Networks, Health-ISAC et Financial Services-ISAC en avril 2022.
Microsoft prévoit également d’étendre ses méthodes légales pour perturber davantage les logiciels malveillants et les opérations des États-nations en exploitant des logiciels illégitimes. Ce faisant, l’équipe espère “entraver considérablement la monétisation de ces copies illégales et ralentir leur utilisation dans les cyberattaques, obligeant les criminels à réévaluer et à changer leurs tactiques”, a déclaré la société.
“Bien que cette action ait un impact sur les opérations immédiates des criminels, nous prévoyons pleinement qu’ils tenteront de relancer leurs efforts”, a écrit Hogan-Burney. “Notre action n’est donc pas une et faite.” L’équipe a l’intention de poursuivre sa recherche d’actions juridiques et techniques “pour surveiller et prendre des mesures pour perturber de nouvelles opérations criminelles”.
