Trace Id is missing

Zastavení zneužívání nástrojů zabezpečení kyberzločinci

Sada ikon na oranžovém pozadí

Oddělení Digital Crimes Unit (DCU) společnosti Microsoft, softwarová společnost Fortra™ zabývající se kybernetickou bezpečností a Health Information Sharing and Analysis Center (Health-ISAC) spolupracují na technických a právních krocích, jejichž cílem je narušit „prolomené“ starší kopie softwaru Cobalt Strike a zneužitého softwaru společnosti Microsoft, které kyberzločinci používají k šíření malwaru včetně ransomwaru. Jedná se o změnu způsobu, jakým oddělení DCU pracovalo v minulosti – rozsah je větší a operace je složitější. Místo narušování přístupu typu „command and control“ u malwaru tentokrát spolupracujeme se společností Fortra na odstranění nelegálních starších kopií softwaru Cobalt Strike, aby je kyberzločinci už nemohli používat.

Budeme muset vytrvale pracovat na odstranění „prolomených“, starších kopií softwaru Cobalt Strike hostovaných po celém světě. Je to důležitá akce společnosti Fortra k ochraně legitimního používání jejích nástrojů zabezpečení. Microsoft se podobně zavázal k zajišťování legitimního používání svých produktů a služeb. Věříme také, že rozhodnutí společnosti Fortra stát se naším partnerem v této akci je uznáním práce oddělení DCU v boji proti kybernetickým trestným činům za posledních deset let. Společně jsme odhodláni bojovat proti nelegálním metodám distribuce, které kyberzločinci používají.

Cobalt Strike je legitimní a oblíbený nástroj pro situace po útocích používaný k simulaci chování nežádoucích osob, který poskytuje společnost Fortra. Někdy byly starší verze tohoto softwaru zločinci zneužity a pozměněny. Tyto nelegální kopie se označují jako „prolomené“ a byly použity k destruktivním útokům, například k útokům proti vládě Kostariky a irskému poskytovateli zdravotních služeb Health Service Executive. Sady SDK a rozhraní API společnosti Microsoft jsou zneužívány pro psaní kódů škodlivého softwaru a také jako infrastruktura pro distribuci škodlivého softwaru, která se cílí na oběti a snaží se je oklamat.

Rodiny ransomwaru spojené s „prolomenými“ kopiemi softwaru Cobalt Strike nebo nasazované tímto softwarem byly spojeny s více než 68 ransomwarovými útoky, které zasáhly zdravotnické organizace ve více než 19 zemích světa. Tyto útoky stály nemocniční systémy miliony dolarů v nákladech na obnovu a opravy. Navíc došlo k přerušení poskytování kritických služeb péče o pacienty včetně opožděných diagnostických, zobrazovacích a laboratorních výsledků, zrušených lékařských zákroků a zpoždění při poskytování chemoterapie, a to je jen několik příkladů.

Globální rozmístění „prolomených“ kopií softwaru Cobalt Strike
Data společnosti Microsoft znázorňující celosvětové rozmístění počítačů infikovaných „prolomenými“ kopiemi softwaru Cobalt Strike.

31. března 2023 vydal americký soud pro východní obvod státu New York soudní příkaz, který společnostem Microsoft, Fortra a Health-ISAC umožňuje narušit škodlivou infrastrukturu používanou zločinci k provádění útoků. Díky tomu můžeme informovat příslušné poskytovatele internetových služeb a týmy CERT (Computer Emergency Readiness Team), které pomáhají vyřadit danou infrastrukturu z provozu a efektivně přerušit spojení mezi zločineckými operátory a infikovanými počítači obětí.

Společností Fortra a Microsoft při svém vyšetřovacím úsilí používaly detekci, analýzu, telemetrii a zpětnou analýzu spolu s dalšími daty a poznatky od globální sítě partnerů, které pomohly podpořit náš právní případ. To zahrnovalo Health-ISAC, tým Fortra Cyber Intelligence Team a data a poznatky týmu Analýzy hrozeb Microsoft. Naše akce se zaměřuje výhradně na narušení „prolomených“ starších kopií softwaru Cobalt Strike a napadeného softwaru Microsoft.

Microsoft také rozšiřuje právní metodu, která se úspěšně používá k narušování používání malwaru a operací státních aktérů a cílí na zneužívání nástrojů zabezpečení, které používá široké spektrum kyberzločinců. Narušení starších „prolomených“ kopií softwaru Cobalt Strike výrazně ztíží monetizaci těchto nelegálních kopií a zpomalí jejich používání při kybernetických útocích, což donutí zločince přehodnotit a změnit svou taktiku. Tato akce zahrnuje také vymáhání autorských práv v souvislosti se škodlivým používání softwarového kódu společností Microsoft a Fortra, který je pozměňován a zneužíván za účelem působení škod.

Společnost Fortra podnikla významné kroky, aby zabránila zneužívání svého softwaru, včetně přísných postupů prověřování zákazníků. Zločinci však kradou starší verze softwaru pro zabezpečení, včetně softwaru Cobalt Strike, a vytvářejí „prolomené“ kopie, aby získali přístup přes zadní vrátka do počítačů a mohli nasazovat malware. Zaznamenali jsme, že operátoři ransomwaru používají „prolomené“ kopie softwaru Cobalt Strike a zneužívají software společnosti Microsoft k nasazování programů Conti, LockBit a dalšího ransomwaru v rámci obchodního modelu ransomwaru jako služby (RaaS).

Aktéři hrozeb používají „prolomené“ kopie softwaru, aby urychlily nasazování ransomwaru v napadených sítích. Diagram níže znázorňuje průběh útoku a zvýrazňuje přispívající faktory včetně cíleného phishingu a škodlivých spamových e-mailů pro získání počátečního přístupu a také zneužití kódu ukradeného od společností, jako jsou Microsoft a Fortra.

Schéma průběhu útoku aktéra hrozby
Příklad průběhu útoku aktéra hrozby DEV-0243.
Microsoft Digital Defense
Doporučené

Studie Microsoft Digital Defense Report 2023: Vytváření kybernetické odolnosti

Nejnovější vydání studie „Microsoft Digital Defense Report“ zkoumá vyvíjející se prostředí hrozeb a představuje příležitosti a výzvy při zvyšování kybernetické odolnosti.

Přestože v současnosti době neznáme přesnou identitu aktérů, kteří tyto zločinecké operace provádějí, odhalili jsme škodlivou infrastrukturu po celém světě, a to včetně Číny, Spojených států a Ruska. Kromě finančně motivovaných kyberzločinců jsme zaznamenali, že aktéři hrozeb jednají v zájmu zahraničních vlád, včetně vlád Ruska, Číny, Vietnamu a Íránu, a používají „prolomené“ kopie.

Společnosti Microsoft, Fortra a Health-ISAC nadále neúnavně usilují o zlepšení zabezpečení celého ekosystému a na tomto případu spolupracujeme s kybernetickým oddělením NCIJTF (National Cyber Investigative Joint Task Force) agentury FBI a Evropským centrem pro boj proti kyberkriminalitě v Europolu (EC3). I když tato akce ovlivní okamžité operace zločinců, plně předpokládáme, že se pokusí své úsilí obnovit. Naše akce tedy není jednorázová a nemůže být považována za dokončenou. Microsoft, Fortra a Health-ISAC budou spolu se svými partnery pokračovat v monitorování a přijímání opatření s cílem překazit další zločinecké operace včetně používání „prolomených“ kopií softwaru Cobalt Strike.

Fortra věnuje značné výpočetní a lidské zdroje na boj proti nelegálnímu používání svého softwaru a „prolomených“ kopií softwaru Cobalt Strike a pomáhá zákazníkům určit, jestli byly jejich softwarové licence napadeny. Legitimní odborníci na zabezpečení, kteří si zakoupí licence softwaru Cobalt Strike, jsou prověřeni společností Fortra a musí dodržovat omezení používání a kontrolní opatření týkající se exportu. Fortra aktivně spolupracuje se sociálními médii a weby pro sdílení souborů na odstraňování „prolomených“ kopií softwaru Cobalt Strike, pokud se na těchto webech objeví. Vzhledem k tomu, že zločinci přizpůsobili své techniky, upravila společnost Fortra kontrolní mechanismy zabezpečení v softwaru Cobalt Strike tak, aby eliminovaly metody používané k prolomení starších verzí softwaru Cobalt Strike.

Tak jak to dělá už od roku 2008, bude oddělení DCU společnosti Microsoft i nadále usilovat o zastavení šíření malwaru iniciováním občanskoprávních žalob na ochranu zákazníků ve velkém počtu zemí po celém světě, kde platí příslušné zákony. Budeme také pokračovat ve spolupráci s poskytovateli internetových služeb a týmy CERT při identifikaci obětí a nápravě.

Související články

Tři způsoby ochrany před ransomwarem

Moderní obrana proti ransomwaru vyžaduje mnohem více než jen nastavení opatření na detekci. Objevte tři hlavní způsoby, jak můžete okamžitě posílit zabezpečení své sítě proti ransomwaru.

Ransomware jako služba: Nová tvář industrializované kyberkriminality

Nejnovější obchodní model počítačové kriminality, útoky řízené lidmi, dodává odvahu zločincům s různými schopnostmi.

Informace o zákulisí s odborníkem na počítačovou kriminalitu a boj proti ransomwaru Nickem Carrem

Nick Carr, vedoucí týmu Cybercrime Intelligence ve středisku Analýzy hrozeb Microsoft, hovoří o trendech v oblasti ransomwaru, vysvětluje, co Microsoft dělá pro ochranu zákazníků před ransomwarem, a popisuje, co můžou organizace dělat, pokud byly ransomwarem napadeny.

Sledujte zabezpečení od Microsoftu