Trace Id is missing

Vi hindrer cyberkriminelle i at misbruge sikkerhedsværktøjer

Del
Et sæt ikoner på en orange baggrund.

Microsofts enhed for digital kriminalitet (DCU), softwarefirmaet for cybersikkerhed Fortra™ og Health-ISAC (Health Information Sharing and Analysis Center) tager tekniske og juridiske skridt til at forstyrre ulovlige, ældre kopier af Cobalt Strike og misbrugt Microsoft-software, som er blevet brugt af cyberkriminelle til at distribuere malware, herunder ransomware. Dette er en ændring i den måde, DCU tidligere har arbejdet på – omfanget er større, og aktiviteten er mere kompleks. I stedet for at forstyrre kommandoen og kontrollen af en malware-serie, arbejder vi denne gang sammen med Fortra om at fjerne ulovlige, ældre kopier af Cobalt Strike, så de ikke længere kan bruges af cyberkriminelle.

Vi bliver nødt til at være vedholdende, når vi arbejder på at fjerne de ulovlige, ældre kopier af Cobalt Strike, der findes rundt omkring i verden. Dette er en vigtig handling fra Fortras side for at beskytte den legitime brug af deres sikkerhedsværktøjer. Microsoft er på samme måde forpligtet til at sikre legitim brug af sine produkter og tjenester. Vi mener også, at Fortras valg af at samarbejde med os om denne aktion er en anerkendelse af DCU's arbejde med at bekæmpe cyberkriminalitet gennem det seneste årti. Sammen er vi fast besluttede på at gå efter de cyberkriminelles ulovlige distributionsmetoder.

Cobalt Strike er et legitimt og populært værktøj, der bruges efter udnyttelse til simulering af modstandere, og som leveres af Fortra. Nogle gange er ældre versioner af softwaren blevet misbrugt og ændret af kriminelle. Disse ulovlige kopier kaldes "cracked" (ulovlige) og er blevet brugt til at lancere destruktive angreb, som dem mod Costa Ricas regering og Irish Health Service Executive. Microsofts software development kits og API'er misbruges som en del af kodningen af malwaren samt den kriminelle malware-distributionsinfrastruktur til at målrette og vildlede ofrene.

De ransomware-serier, der er forbundet med eller anvendt af ulovlige kopier af Cobalt Strike, er blevet sat i forbindelse med mere end 68 ransomware-angreb, der har ramt sundhedsorganisationer i mere end 19 lande/områder verden over. Disse angreb har kostet hospitalssystemer millioner af dollars i omkostninger til genoprettelse og reparation, samt afbrydelser af kritiske patientplejetydelser, herunder forsinkede diagnose-, billeddannelses- og laboratorieresultater, aflyste medicinske procedurer og forsinkelser i levering af behandlinger af kemoterapi, for blot at nævne nogle få.

Global distribution af ulovlige kopier af Cobalt Strike
Microsoft-data, der viser den globale spredning af computere inficeret med ulovlige kopier af Cobalt Strike.

Den 31. marts 2023 udstedte U.S. District Court for the Eastern District of New York en retskendelse, der tillader Microsoft, Fortra og Health-ISAC at afbryde den ondsindede infrastruktur, der bruges af kriminelle til at lette deres angreb. Det gør det muligt for os at underrette relevante ISP'er (internetudbydere) og CERT'er (computer-beredskabsteams), som hjælper med at tage infrastrukturen offline, hvilket effektivt afbryder forbindelsen mellem kriminelle operatører og inficerede offercomputere.

Fortra og Microsofts efterforskningsindsats omfattede registrering, analyse, telemetri og reverse engineering med yderligere data og indsigt til at styrke vores juridiske sag fra et globalt netværk af partnere, herunder data og indsigt fra Health-ISAC, Fortra Cyber Intelligence-teamet og Microsoft Threat Intelligence-teamet. Vores handling fokuserer udelukkende på at ødelægge ulovlige, ældre kopier af Cobalt Strike og kompromitteret Microsoft-software.

Microsoft udvider også en juridisk metode, der bruges til at forstyrre malware og nation-stat-handlinger, til at målrette mod misbrug af sikkerhedsværktøjer, der bruges af et bredt spektrum af cyberkriminelle. At afbryde ulovlige ældre kopier af Cobalt Strike vil i høj grad hindre monetariseringen af disse ulovlige kopier og bremse deres brug i cyberangreb, hvilket tvinger kriminelle til at revurdere og ændre deres taktik. Dagens handling omfatter også ophavsretskrav mod ondsindet brug af Microsofts og Fortras softwarekode, som ændres og misbruges til at gøre skade.

Fortra har taget betydelige skridt for at forhindre misbrug af sin software, herunder strenge praksis til kundebekræftelse. Kriminelle er dog kendt for at stjæle ældre versioner af sikkerhedssoftware, herunder Cobalt Strike, og lave ulovlige kopier for at få bagdørsadgang til maskiner og udrulle malware. Vi har set ransomware-operatører bruge ulovlige kopier af Cobalt Strike og har misbrugt Microsoft-software til at udrulle Conti, LockBit og anden ransomware som en del af forretningsmodellen for ransomware as a service.

Trusselsaktører bruger ulovlige kopier af software til at fremskynde deres udrulning af ransomware på kompromitterede netværk. Diagrammet nedenfor viser et angrebsflow, der fremhæver medvirkende faktorer, herunder spydphishing og ondsindede spammails for at få adgang, samt misbrug af kode stjålet fra virksomheder som Microsoft og Fortra.

Diagram over angrebsflow for trusselsaktører
Eksempel på et angrebsflow fra trusselsaktøren DEV-0243.
Microsoft digitalt forsvar
Udvalgt

Microsoft-rapport over digitalt forsvar 2023: Opbyg cyberrobusthed

Den seneste udgave af Microsoft-rapport over digitalt forsvar udforsker det skiftende trusselsbillede og gennemgår muligheder og udfordringer, når vi skal blive modstandsdygtige over for cyberangreb.
Få mere at vide

Selvom vi i øjeblikket ikke kender den nøjagtige identitet på dem, der udfører de kriminelle handlinger, har vi opdaget ondsindet infrastruktur over hele kloden, herunder i Kina, USA og Rusland. Ud over økonomisk motiverede cyberkriminelle har vi observeret trusselsaktører, der handler i udenlandske regeringers interesse, herunder fra Rusland, Kina, Vietnam og Iran, ved hjælp af ulovlige kopier.

Microsoft, Fortra og Health-ISAC fortsætter ufortrødent vores bestræbelser på at forbedre sikkerheden i økosystemet, og vi samarbejder med FBI's Cyber Division, National Cyber Investigative Joint Task Force (NCIJTF) og Europols European Cybercrime Centre (EC3) om denne sag. Selvom denne handling vil påvirke de kriminelles umiddelbare aktiviteter, forventer vi absolut, at de vil forsøge at genoplive deres indsats. Vores handling er derfor ikke en engangsforestilling. Gennem løbende juridiske og tekniske tiltag vil Microsoft, Fortra og Health-ISAC, sammen med vores partnere, fortsætte med at overvåge og tage handling til at afbryde yderligere kriminelle aktiviteter, herunder brugen af ulovlige kopier af Cobalt Strike.

Fortra bruger betydelige computer- og menneskelige ressourcer på at bekæmpe ulovlig brug af deres software og ulovlige kopier af Cobalt Strike, og hjælper kunderne med at finde ud af, om deres softwarelicenser er blevet kompromitteret. Legitime sikkerhedsfolk, der køber Cobalt Strike-licenser, bliver undersøgt af Fortra og er forpligtet til at overholde brugsrestriktioner og eksportkontrol. Fortra arbejder aktivt med sociale medier og fildelingssider for at fjerne ulovlige kopier af Cobalt Strike, når de vises på disse websider. I takt med at de kriminelle har tilpasset deres teknikker, har Fortra tilpasset sikkerhedskontrollerne i Cobalt Strike-softwaren for at eliminere de metoder, der blev brugt til at knække ældre versioner af Cobalt Strike.

Som vi har gjort siden 2008, vil Microsofts DCU fortsætte sine bestræbelser på at stoppe spredningen af malware ved at anlægge civile søgsmål for at beskytte kunder i det store antal af lande/områder rundt om i verden, hvor disse love er indført. Vi vil også fortsætte med at arbejde med internetudbydere og CERT'er for at identificere og afhjælpe ofre.

Relaterede artikler

Tre måder, hvorpå du kan beskytte dig selv mod ransomware

Moderne forsvar mod ransomware kræver meget mere end blot at konfigurere foranstaltninger til registrering. Find de tre måder, hvorpå du kan bestyrke dit netværks sikkerhed i forhold til ransomware i dag.
Få mere at vide

Ransomware som en tjeneste: Den industrialiserede cyberkriminalitets nye ansigt

Cyberkriminalitetens nyeste forretningsmodel, menneskedrevne angreb, bestyrker kriminelle med varierende færdigheder.
Få mere at vide

Bag kulisserne med ekspert i cyberkriminalitet og modvirkning af ransomware, Nick Carr

Nick Carr, Cybercrime Intelligence Team Lead hos Microsoft Threat Intelligence Center, diskuterer ransomware-trusler, forklarer, hvad Microsoft gør for at beskytte kunder mod ransomware, og beskriver, hvad organisationer kan gøre, hvis de bliver påvirket af det.
Få mere at vide

Følg Microsoft