Trace Id is missing
Преминаване към основното съдържание
Security Insider

Спиране на злоупотреби на киберпрестъпниците с инструменти за защита

Споделяне
Набор от икони на оранжев фон.

Отделът за цифрови престъпления (DCU) на Microsoft, софтуерната компания за киберсигурност Fortra™ и Центърът за обмен и анализ на здравна информация (Health-ISAC) предприемат технически и правни действия, за да прекъснат работата на кракнати, наследени копия на Cobalt Strike и злоупотребяван софтуер на Microsoft, които са били използвани от киберпрестъпници за разпространение на зловреден софтуер, включително рансъмуер. Това е промяна в начина, по който DCU е работила в миналото – обхватът е по-голям, а операцията – по-сложна. Вместо да прекъснем командването и контрола на семейство зловредни програми, този път работим с Fortra, за да премахнем незаконните, наследени копия на Cobalt Strike, за да не могат повече да се използват от киберпрестъпниците.

Ще трябва да проявим постоянство, докато работим по свалянето на кракнатите, наследени копия на Cobalt Strike, разположени по целия свят. Това е важно действие от страна на Fortra за защита на законното използване на нейните инструменти за сигурност. Microsoft се ангажира по същия начин със законното използване на своите продукти и услуги. Вярваме също, че изборът на Fortra да ни партнира в това действие е признание за работата на DCU в борбата с киберпрестъпността през последното десетилетие. Заедно сме решени да преследваме незаконните методи за разпространение, използвани от киберпрестъпниците.

Cobalt Strike е легитимен и популярен инструмент, който се използва за симулация на противник след експлоатиране, предоставен от Fortra. Понякога по-старите версии на софтуера са били използвани и променяни от престъпници. Тези незаконни копия се наричат "кракнати" и се използват за извършване на разрушителни атаки, като тези срещу правителството на Коста Рика и Ирландската здравна служба. Софтуерните развоени пакети на Microsoft и приложните програмни интерфейси (API) се използват като част от кодирането на зловредния софтуер, както и от престъпната инфраструктура за разпространение на зловреден софтуер, за да се насочат към жертвите и да ги заблудят.

Семействата рансъмуер, свързани с или разгърнати от кракнати копия на Cobalt Strike, са свързани с повече от 68 атаки с рансъмуер, които засягат здравни организации в повече от 19 държави по света. Тези атаки са стрували на болничните системи милиони долари разходи за възстановяване и ремонт, както и прекъсвания на критично важни услуги за пациентите, включително забавени резултати от диагностика, образна диагностика и лабораторни изследвания, отменени медицински процедури и закъснения при провеждането на химиотерапия, и това са само някои от тях.

Глобално разпространение на кракнати копия на Cobalt Strike
Данни на Microsoft, показващи глобалното разпространение на компютри, заразени с кракнати копия на Cobalt Strike.

На 31 март 2023 г., САЩ Окръжният съд на Източен окръг Ню Йорк издаде съдебна заповед, която позволява на Microsoft, Fortra и Health-ISAC да прекъснат злонамерената инфраструктура, използвана от престъпниците за улесняване на техните атаки. Това ни позволява да уведомим съответните доставчици на интернет услуги (ISP) и екипите за готовност за действие при компютърни инциденти (CERT), които помагат за извеждането на инфраструктурата от мрежата, като ефективно прекъсват връзката между престъпните оператори и заразените компютри на жертвите.

Усилията на Fortra и Microsoft в областта на разследването включваха откриване, анализ, телеметрия и обратен инженеринг, както и допълнителни данни и прозрения за укрепване на нашите правни аргументи от глобална мрежа от партньори, включително Health-ISAC, екипа за кибернетично разузнаване на Fortra и данните и прозренията на екипа на Набора от ресурси на Microsoft срещу заплахи. Действията ни са насочени единствено към нарушаване на работата на кракнати, наследени копия на Cobalt Strike и компрометиран софтуер на Microsoft.

Microsoft също така разширяват правния метод, използван успешно за прекъсване на зловреден софтуер и операции на национални държави, за да се насочат към злоупотребата с инструменти за сигурност, използвани от широк спектър киберпрестъпници. Прекъсването на старите кракнати копия на Cobalt Strike ще възпрепятства значително приходите от тези незаконни копия и ще забави използването им за кибератаки, принуждавайки престъпниците да преоценят и променят тактиката си. Днешният иск включва и искове за авторски права срещу злонамереното използване на софтуерния код на Microsoft и Fortra, който е променен и използван с цел нанасяне на вреди.

Fortra е предприела значителни мерки за предотвратяване на злоупотреби със своя софтуер, включително строги практики за проверка на клиентите. Известно е обаче, че престъпниците крадат по-стари версии на софтуера за сигурност, включително Cobalt Strike, и създават кракнати копия, за да получат достъп до машини със задна врата и да разположат зловреден софтуер. Наблюдавахме, че операторите на софтуер за изнудване използват кракнати копия на Cobalt Strike и злоупотребяват със софтуер на Microsoft, за да разгърнат Conti, LockBit и друг софтуер за изнудване като част от бизнес модела "софтуер за изнудване като услуга".

Извършителите, представляващ заплаха, използват кракнати копия на софтуер, за да ускорят внедряването на рансъмуер в компрометирани мрежи. На диаграмата по-долу е показан потокът на атаката, като са подчертани факторите, които допринасят за това, включително фишинг и злонамерени спам имейли за получаване на първоначален достъп, както и злоупотреба с код, откраднат от компании като Microsoft и Fortra.

Диаграма на потока от атаки от страна на извършител, представляващ заплаха
Пример за поток от атаки от страна на извършител, представляващ заплаха DEV-0243.
Цифрова защита на Microsoft
Актуални

Отчет за дигитална защита на Microsoft за 2023 г.: Създаване на кибериздръжливост

Най-новото издание на Отчета за дигитална защита на Microsoft изследва еволюиращия пейзаж на заплахите и минава през възможности и предизвикателства, докато ставаме кибериздръжливи.
Научете повече

Въпреки че понастоящем не е известна точната самоличност на лицата, извършващи престъпните операции, открихме злонамерена инфраструктура по целия свят, включително в Китай, Съединените щати и Русия. Освен финансово мотивирани киберпрестъпници, наблюдаваме и извършители, представляващи заплаха, действащи в интерес на чужди правителства, включително от Русия, Китай, Виетнам и Иран, които използват кракнати копия.

Microsoft, Fortra и Health-ISAC продължават да полагат непрестанни усилия за подобряване на сигурността на екосистемата и си сътрудничат по този случай с киберотдела на ФБР, Националната съвместна работна група за разследване на киберпрестъпления (NCIJTF) и Европейския център за киберпрестъпления (EC3) на Европол. Въпреки че това действие ще се отрази на непосредствените операции на престъпниците, напълно очакваме, че те ще се опитат да възобновят усилията си. Затова нашето действие не е еднократно. Чрез непрекъснати правни и технически действия Microsoft, Fortra и Health-ISAC, заедно с нашите партньори, ще продължат да наблюдават и предприемат действия за прекъсване на по-нататъшни престъпни операции, включително използването на кракнати копия на Cobalt Strike.

Fortra отделя значителни компютърни и човешки ресурси за борба с незаконното използване на нейния софтуер и кракнати копия на Cobalt Strike, като помага на клиентите да установят дали техните софтуерни лицензи са били компрометирани. Легитимните специалисти по защитата, които закупуват лицензи за Cobalt Strike, се проверяват от Fortra и трябва да спазват ограниченията за използване и контрола на износа. Fortra активно работи със социалните медии и сайтовете за споделяне на файлове, за да премахва кракнати копия на Cobalt Strike, когато те се появят в тези уебсайтове. Тъй като престъпниците са адаптирали техниките си, Fortra е адаптирала контролите за сигурност в софтуера Cobalt Strike, за да елиминира методите, използвани за разбиване на по-старите версии на Cobalt Strike.

Както и от 2008 г. насам, отдел DCU на Microsoft ще продължи да полага усилия за спиране на разпространението на зловреден софтуер, като завежда граждански дела за защита на клиентите в големия брой държави по света, където тези закони са в сила. Също така ще продължим да работим с доставчиците на интернет услуги и CERT, за да идентифицираме и коригираме жертвите.

Свързани статии

Три начина да се защитите от рансъмуер

Съвременната защита срещу рансъмуер изисква много повече от просто взимане на мерки за откриване. Открийте най-добрите три начина, по които можете да засилите защитата на мрежата си срещу рансъмуер днес.
Научете повече

Рансъмуерът като услуга: Новото лице на индустриализираната киберпрестъпност

Най-новият бизнес модел на киберпрестъпността – атаките, управлявани от хора, окуражава престъпници с различни способности.
Научете повече

Зад кулисите с експерта по киберпрестъпления и борба с ransomware Ник Кар

Ник Кар, ръководител на екипа за разузнаване на киберпрестъпленията в Центъра за набор от ресурси на Microsoft срещу заплахи, обсъжда тенденциите в рансъмуера, обяснява какво прави Microsoft, за да защити клиентите от рансъмуер, и описва какво могат да направят организациите, ако са били засегнати от него.
Научете повече

Следвайте Microsoft Security