Im Microsoft Threat Intelligence-Podcast erfahren Sie wichtige Erkenntnisse direkt von den Experten selbst. Jetzt anhören

Cyberkriminelle davon abhalten, Sicherheitstools zu missbrauchen

Einige Symbole vor einem orangefarbenen Hintergrund.

Die Digital Crimes Unit (DCU) von Microsoft, das Softwareunternehmen für Cybersicherheitslösungen Fortra™ und Health Information Sharing and Analysis Center (Health-ISAC) ergreifen technische und rechtliche Maßnahmen, um geknackte Legacy-Kopien von Cobalt Strike und missbrauchte Microsoft-Software zu zerstören, die von Cyberkriminellen verwendet werden, um Schadsoftware und Ransomware zu verbreiten. Im Vergleich zu früher ist dies eine ganz neue Herangehensweise der DCU: Der Umfang ist größer, und die Operation ist insgesamt viel komplexer. Statt Kontrolle und Steuerung einer Schadsoftwarefamilie zu stören, arbeiten wir dieses Mal gemeinsam mit Fortra daran, illegale Legacy-Kopien von Cobalt Strike zu entfernen, damit sie nicht mehr von Cyberkriminellen verwendet werden können.

Wir müssen beim Abschalten der geknackten Legacy-Kopien von Cobalt Strike, die weltweit gehostet werden, beharrlich sein. Es ist eine wichtige Maßnahme von Fortra, den rechtmäßigen Einsatz der eigenen Sicherheitstools zu schützen. In gleicher Weise setzt sich Microsoft für den rechtmäßigen Einsatz der eigenen Produkte und Dienste ein. Wir sind außerdem davon überzeugt, dass Fortra DCU als Partner für diese Maßnahme gewählt hat, um unsere Arbeit der letzten Jahre im Kampf gegen Cyberverbrechen anzuerkennen. Gemeinsam setzen wir uns dafür ein, die illegalen Verteilungsmethoden der Cyberkriminellen zu verfolgen.

Cobalt Strike ist ein von Fortra bereitgestelltes rechtmäßiges und beliebtes Tool, das nach einem Angriff eingesetzt wird, um die Angriffssimulation zu ermöglichen. Ältere Versionen dieser Software wurden bereits von Kriminellen missbraucht und verändert. Diese illegalen Kopien werden als „geknackt“ bezeichnet und wurden für destruktive Angriffe verwendet, beispielsweise für die auf die Regierung von Costa Rica und das irische Health Service Executive. Software Development Kits und APIs von Microsoft werden bei der Programmierung von Schadsoftware missbraucht. Zudem werden sie in der kriminellen Infrastruktur zur Schadsoftwareverteilung eingesetzt, um Opfer zu erreichen und zu täuschen.

Die Ransomwarefamilien, die mit geknackten Cobalt Strike-Kopien verknüpft sind oder bereitgestellt werden, konnten mit mehr als 68 Ransomwareangriffen in Verbindung gebracht werden. Dabei wurden in 19 Ländern weltweit Organisationen im Gesundheitswesen angegriffen. Diese Angriffe haben zu enormen Kosten bei der Wiederherstellung und Reparatur von Krankenhaussystemen geführt. Außerdem haben sie zu Störungen der kritischen Patientenversorgung geführt: Verzögerungen bei Diagnose-, Bildgebungs- und Laborergebnissen, abgesagte Operationen und Verzögerungen bei der Chemotherapie – um nur einige zu nennen.

Globale Verteilung geknackter Cobalt Strike-Kopien

Microsoft-Daten, die die globale Verbreitung von Computern zeigen, die mit geknackten Cobalt Strike-Kopien infiziert sind.

Am 31. März 2023 hat das Bezirksgericht für den östlichen Regierungsbezirk von New York eine gerichtliche Verfügung erlassen, die es Microsoft, Fortra und Health-ISAC erlaubt, die von Kriminellen für Angriffe verwendete böswillige Infrastruktur auszuheben. Dadurch konnten wir die relevanten Internetdienstanbieter (ISPs) und Computer Emergency Readiness-Teams (CERTs) informieren, die dabei geholfen haben, die Infrastruktur offline zu schalten und so die Verbindung zwischen den kriminellen Betreibern und den infizierten Computern der Opfer effektiv zu trennen.

Die Untersuchungen von Fortra und Microsoft umfassten Erkennung, Analyse, Telemetrie sowie Reverse Engineering. Um unsere Rechtssache zu stützen, haben wir weitere Daten und Erkenntnisse aus einem globalen Netzwerk von Partnern einbezogen, darunter Health-ISAC, das Fortra Cyber Intelligence Team und das Microsoft Threat Intelligence-Team. Wir haben unsere Bemühungen nur darauf konzentriert, geknackte Legacy-Kopien von Cobalt Strike und kompromittierte Microsoft-Software zu unterbrechen.

Microsoft baut auch eine rechtliche Methode aus, mit der Schadsoftware und nationalstaatliche Kampagnen erfolgreich unterbrochen werden, die den Missbrauch von Sicherheitstools zum Ziel haben, die von einer Vielzahl von Cyberkriminellen verwendet werden. Die Unterbrechung von geknackten Legacy-Kopien von Cobalt Strike verhindert in beträchtlichem Ausmaß die Monetarisierung dieser illegalen Kopien. Ihr Einsatz in Cyberangriffen wird ausgebremst, und Kriminelle müssen ihre Taktik überdenken und ändern. Die aktuelle Aktion umfasst auch Urheberrechtsansprüche gegen die böswillige Nutzung des Softwarecodes von Microsoft und Fortra, der manipuliert und missbraucht wird, um anderen zu schaden.

Fortra hat erhebliche Schritte unternommen, um den Missbrauch der eigenen Software zu verhindern, darunter strenge Kundensicherheitsüberprüfungen. Jedoch ist von Kriminellen bekannt, dass sie ältere Versionen von Sicherheitssoftware stehlen, einschließlich Cobalt Strike, und geknackte Kopien erstellen, um durch die Hintertür Zugriff auf Computer zu erhalten und Schadsoftware bereitzustellen. Wir haben beobachtet, dass Betreiber von Ransomware geknackte Cobalt Strike-Kopien und missbrauchte Microsoft-Software verwendet haben, um Conti, LockBit und andere Ransomware im Rahmen eines Ransomware-as-a-Service-Geschäftsmodells bereitzustellen.

Bedrohungsakteure verwenden geknackte Kopien von Software, um Ransomware schneller in kompromittierten Netzwerken bereitzustellen. Das folgende Diagramm zeigt den Ablauf eines Angriffs. Wesentliche Faktoren sind darin hervorgehoben. Dazu zählen Spear-Phishing und böswillige Spam-E-Mails, um überhaupt Zugriff zu erhalten, sowie der Missbrauch von Code, der von Unternehmen wie Microsoft und Fortra gestohlen wurde.

Ablaufdiagramm für den Angriff eines Bedrohungsakteurs

Beispiel für den Ablauf eines Angriffs durch den Bedrohungsakteur DEV-0243.

Highlights

Microsoft-Bericht über digitale Abwehr 2023: Cyberresilienz ausbilden

In der neuesten Ausgabe des Microsoft-Berichts über digitale Abwehr wird die sich ständig verändernde Bedrohungslandschaft beleuchtet. Zudem werden Chancen und Herausforderungen auf dem Weg zur Cyberresilienz aufgezeigt.

Mehr erfahren

Zwar sind die genauen Identitäten derjenigen, die gegenwärtig kriminelle Operationen durchführen, unbekannt, aber wir haben weltweit eine böswillige Infrastruktur entdeckt, auch in China, den USA und Russland. Neben Cyberkriminellen, die es auf Geld abgesehen haben, sind uns Bedrohungsakteure aufgefallen, die für ausländische Regierungen, einschließlich Russland, China, Vietnam und Iran, arbeiten und geknackte Kopien verwenden.

Microsoft, Fortra und Health-ISAC setzen die Bemühungen für mehr Sicherheit im Ökosystem unerbittlich fort. Außerdem arbeiten wir mit der FBI Cyber Division, der National Cyber Investigative Joint Task Force (NCIJTF) und dem European Cybercrime Centre (EC3) von Europol an diesem Fall. Diese Maßnahmen haben Einfluss auf die unmittelbaren Operationen der Kriminellen. Wir sind uns jedoch bewusst, dass sie versuchen werden, ihre Anstrengungen wieder aufzunehmen. Unsere Aufgabe ist also nicht mit einem Mal erledigt. Durch fortlaufende legale und technische Maßnahmen setzen Microsoft, Fortra und Health-ISAC gemeinsam mit Partnern die Überwachung fort und werden aktiv, um weitere kriminelle Operationen wie die Verwendung geknackter Cobalt Strike-Kopien zu behindern.

Fortra widmet dem Kampf gegen die unrechtmäßige Nutzung der eigenen Software und geknackter Cobalt Strike-Kopien erhebliche Computer- und Personalressourcen und hilft Kunden dabei festzustellen, ob ihre Softwarelizenzen kompromittiert wurden. Sicherheitsfachkräfte, die Cobalt Strike-Lizenzen rechtmäßig erwerben, werden von Fortra überprüft und müssen sich an Nutzungsbeschränkungen und Exportkontrollen halten. Fortra arbeitet aktiv mit Social Media- und Dateifreigabesites zusammen, um geknackte Cobalt Strike-Kopien zu entfernen, wenn sie in deren Webressourcen auftauchen. Kriminelle haben ihre Techniken angepasst, daher hat auch Fortra die Sicherheitskontrollen in der Cobalt Strike-Software verändert, um die zum Knacken älterer Cobalt Strike-Versionen genutzten Methoden auszuschließen.

Bereits seit 2008 versucht das DCU von Microsoft die Ausbreitung von Schadsoftware zu unterbinden, indem zum Schutz von Kunden in zahlreichen Ländern weltweit, in denen entsprechende Gesetze gelten, Zivilklagen eingereicht werden – und diese Bemühungen setzen wir fort. Außerdem arbeiten wir weiterhin zusammen mit ISPs und CERTs daran, Opfer zu finden und zu unterstützen.

Cyberverbrechen Ransomware Bedrohungsakteure

Cyberkriminelle davon abhalten, Sicherheitstools zu missbrauchen

Microsoft-Bericht über digitale Abwehr 2023: Cyberresilienz ausbilden

In der neuesten Ausgabe des Microsoft-Berichts über digitale Abwehr wird die sich ständig verändernde Bedrohungslandschaft beleuchtet. Zudem werden Chancen und Herausforderungen auf dem Weg zur Cyberresilienz aufgezeigt.

Verwandte Artikel

Drei Möglichkeiten, sich vor Ransomware zu schützen

Moderne Ransomwareabwehr erfordert viel mehr als nur die Einrichtung von Erkennungsmaßnahmen. Entdecken Sie die drei wichtigsten Möglichkeiten, wie Sie Ihr Netzwerk noch heute vor Ransomware schützen können.

Ransomware-as-a-Service: Das neue Gesicht des industrialisierten Cyberverbrechens

Das neueste Geschäftsmodell von Cyberverbrechen – von Menschen durchgeführte Angriffe – spricht Kriminelle mit unterschiedlichen Fähigkeiten an.

Hinter den Kulissen mit dem Cyberverbrechen- und Counter-Ransomware-Experten Nick Carr

Nick Carr, Cybercrime Intelligence Team Lead im Microsoft Threat Intelligence Center, diskutiert Ransomwaretrends, erklärt, wie Microsoft Kunden vor Ransomware schützt, und beschreibt, was Organisationen tun können, wenn sie davon betroffen sind.

Microsoft folgen