Trace Id is missing
Μετάβαση στο κύριο περιεχόμενο
Security Insider

Αποτροπή των εγκληματιών του κυβερνοχώρου από την κατάχρηση των εργαλείων ασφαλείας

Κοινοποίηση
Ένα σύνολο εικονιδίων σε πορτοκαλί φόντο.

Η Μονάδα Ψηφιακών Εγκλημάτων (DCU) της Microsoft, η εταιρεία λογισμικού ασφάλειας στον κυβερνοχώρο Fortra™ και το Κέντρο Διαμοιρασμού και Ανάλυσης Πληροφοριών Υγείας (Health-ISAC) αναλαμβάνουν τεχνική και νομική δράση για τη διακοπή των σπασμένων, παλαιών αντιγράφων του Cobalt Strike και του καταχρηστικού λογισμικού της Microsoft, τα οποία έχουν χρησιμοποιηθεί από εγκληματίες του κυβερνοχώρου για τη διανομή κακόβουλου λογισμικού, συμπεριλαμβανομένου του ransomware. Πρόκειται για μια αλλαγή σε σχέση με τον τρόπο με τον οποίο η DCU εργαζόταν στο παρελθόν – το πεδίο εφαρμογής είναι μεγαλύτερο και η λειτουργία πιο πολύπλοκη. Αντί να διακόψουμε τη διοίκηση και τον έλεγχο μιας οικογένειας κακόβουλου λογισμικού, αυτή τη φορά, συνεργαζόμαστε με τη Fortra για την αφαίρεση παράνομων, παλαιών αντιγράφων του Cobalt Strike, ώστε να μην μπορούν πλέον να χρησιμοποιηθούν από εγκληματίες του κυβερνοχώρου.

Θα πρέπει να είμαστε επίμονοι καθώς προσπαθούμε να καταστρέψουμε τα σπασμένα, παλαιά αντίγραφα του Cobalt Strike που φιλοξενούνται σε όλο τον κόσμο. Πρόκειται για μια σημαντική ενέργεια της Fortra για την προστασία της νόμιμης χρήσης των εργαλείων ασφαλείας της. Η Microsoft δεσμεύεται ομοίως για τη νόμιμη χρήση των προϊόντων και υπηρεσιών της. Πιστεύουμε επίσης ότι η επιλογή της Fortra να συνεργαστεί μαζί μας για αυτή τη δράση αποτελεί αναγνώριση του έργου της DCU για την καταπολέμηση του εγκλήματος στον κυβερνοχώρο κατά την τελευταία δεκαετία. Μαζί, δεσμευόμαστε να κυνηγήσουμε τις παράνομες μεθόδους διανομής των εγκληματιών στον κυβερνοχώρο.

Το Cobalt Strike είναι ένα νόμιμο και δημοφιλές εργαλείο μετα-εκμετάλλευσης που χρησιμοποιείται για την προσομοίωση αντιπάλων και παρέχεται από την Fortra. Μερικές φορές, οι παλαιότερες εκδόσεις του λογισμικού έχουν υποστεί κατάχρηση και έχουν τροποποιηθεί από εγκληματίες. Αυτά τα παράνομα αντίγραφα αναφέρονται ως "σπασμένα" και έχουν χρησιμοποιηθεί για να εξαπολύσουν καταστροφικές επιθέσεις, όπως αυτές εναντίον της κυβέρνησης της Κόστα Ρίκα και της Ιρλανδικής Υπηρεσίας Υγείας. Τα κιτ ανάπτυξης λογισμικού και τα API της Microsoft χρησιμοποιούνται καταχρηστικά ως μέρος της κωδικοποίησης του κακόβουλου λογισμικού καθώς και της εγκληματικής υποδομής διανομής κακόβουλου λογισμικού για τη στόχευση και την παραπλάνηση των θυμάτων.

Οι οικογένειες ransomware που σχετίζονται με ή αναπτύσσονται από σπασμένα αντίγραφα του Cobalt Strike έχουν συνδεθεί με περισσότερες από 68 επιθέσεις ransomware που επηρεάζουν οργανισμούς υγειονομικής περίθαλψης σε περισσότερες από 19 χώρες σε όλο τον κόσμο. Αυτές οι επιθέσεις έχουν κοστίσει στα νοσοκομειακά συστήματα εκατομμύρια δολάρια σε δαπάνες αποκατάστασης και επισκευής, καθώς και διακοπές σε κρίσιμες υπηρεσίες περίθαλψης ασθενών, όπως καθυστερημένα διαγνωστικά, απεικονιστικά και εργαστηριακά αποτελέσματα, ακυρωμένες ιατρικές διαδικασίες και καθυστερήσεις στην παράδοση χημειοθεραπευτικών θεραπειών, για να αναφέρουμε μόνο μερικά από αυτά.

Παγκόσμια κατανομή σπασμένων αντιγράφων του Cobalt Strike
Δεδομένα της Microsoft που δείχνουν την παγκόσμια εξάπλωση των υπολογιστών που έχουν μολυνθεί από σπασμένα αντίγραφα του Cobalt Strike.

Στις 31 Μαρτίου 2023, το Περιφερειακό Δικαστήριο των ΗΠΑ για την Ανατολική Περιφέρεια της Νέας Υόρκης εξέδωσε δικαστική απόφαση που επιτρέπει στις Microsoft, Fortra και Health-ISAC να διακόψουν την κακόβουλη υποδομή που χρησιμοποιούν οι εγκληματίες για να διευκολύνουν τις επιθέσεις τους. Με αυτόν τον τρόπο μπορούμε να ειδοποιήσουμε τους αρμόδιους παρόχους υπηρεσιών διαδικτύου (ISP) και τις ομάδες ετοιμότητας έκτακτης ανάγκης για υπολογιστές (CERT), οι οποίες βοηθούν στην απενεργοποίηση της υποδομής, διακόπτοντας αποτελεσματικά τη σύνδεση μεταξύ των εγκληματιών και των μολυσμένων υπολογιστών των θυμάτων.

Οι προσπάθειες έρευνας της Fortra και της Microsoft περιλάμβαναν ανίχνευση, ανάλυση, τηλεμετρία και αντίστροφη μηχανική, με πρόσθετα δεδομένα και πληροφορίες για την ενίσχυση της νομικής μας υπόθεσης από ένα παγκόσμιο δίκτυο συνεργατών, συμπεριλαμβανομένου του Health-ISAC, της ομάδας "Ευφυΐα προστασίας από απειλές στον κυβερνοχώρο" της Fortra και των δεδομένων και πληροφοριών της ομάδας "Πληροφορίες της Microsoft σχετικά με απειλές". Η δράση μας επικεντρώνεται αποκλειστικά στη διακοπή των σπασμένων, παλαιών αντιγράφων του Cobalt Strike και του παραβιασμένου λογισμικού της Microsoft.

Η Microsoft επεκτείνει επίσης μια νομική μέθοδο που χρησιμοποιείται με επιτυχία για τη διακοπή κακόβουλου λογισμικού και εθνικών κρατικών επιχειρήσεων, ώστε να στοχεύει στην κατάχρηση των εργαλείων ασφαλείας που χρησιμοποιούνται από ένα ευρύ φάσμα εγκληματιών στον κυβερνοχώρο. Η διακοπή των σπασμένων παλαιών αντιγράφων του Cobalt Strike θα εμποδίσει σημαντικά την κερδοφορία αυτών των παράνομων αντιγράφων και θα επιβραδύνει τη χρήση τους σε επιθέσεις στον κυβερνοχώρο, αναγκάζοντας τους εγκληματίες να επανεκτιμήσουν και να αλλάξουν τις τακτικές τους. Η σημερινή αγωγή περιλαμβάνει επίσης αξιώσεις πνευματικής ιδιοκτησίας κατά της κακόβουλης χρήσης του κώδικα λογισμικού της Microsoft και της Fortra, ο οποίος τροποποιείται και χρησιμοποιείται καταχρηστικά για να προκαλέσει βλάβη.

Η Fortra έχει λάβει σημαντικά μέτρα για να αποτρέψει την κατάχρηση του λογισμικού της, συμπεριλαμβανομένων αυστηρών πρακτικών ελέγχου των πελατών. Ωστόσο, οι εγκληματίες είναι γνωστό ότι κλέβουν παλαιότερες εκδόσεις λογισμικού ασφαλείας, συμπεριλαμβανομένου του Cobalt Strike, δημιουργώντας σπασμένα αντίγραφα για να αποκτήσουν πρόσβαση από την πίσω πόρτα σε μηχανήματα και να αναπτύξουν κακόβουλο λογισμικό. Έχουμε παρατηρήσει χειριστές ransomware να χρησιμοποιούν σπασμένα αντίγραφα του Cobalt Strike και κακοποιημένο λογισμικό της Microsoft για την ανάπτυξη των Conti, LockBit και άλλου ransomware στο πλαίσιο του επιχειρηματικού μοντέλου ransomware ως υπηρεσία.

Οι παράγοντες απειλής χρησιμοποιούν σπασμένα αντίγραφα λογισμικού για να επιταχύνουν την ανάπτυξη του ransomware σε παραβιασμένα δίκτυα. Το παρακάτω διάγραμμα δείχνει μια ροή επίθεσης, επισημαίνοντας τους παράγοντες που συμβάλλουν, συμπεριλαμβανομένου του εστιασμένου ηλεκτρονικού "ψαρέματος" και των κακόβουλων μηνυμάτων spam για την απόκτηση αρχικής πρόσβασης, καθώς και την κατάχρηση κώδικα που έχει κλαπεί από εταιρείες όπως η Microsoft και η Fortra.

Διάγραμμα ροής επίθεσης παράγοντα απειλής
Παράδειγμα ροής επίθεσης από τον παράγοντα απειλής DEV-0243.
Ψηφιακή ασφάλεια της Microsoft
Επιλεγμένες

Αναφορά ψηφιακής ασφάλειας της Microsoft 2023: Οικοδόμηση ανθεκτικότητας στον κυβερνοχώρο

Η τελευταία έκδοση της Αναφοράς ψηφιακής ασφάλειας της Microsoft διερευνά το εξελισσόμενο τοπίο των απειλών και εξετάζει τις ευκαιρίες και τις προκλήσεις καθώς γινόμαστε ανθεκτικοί στον κυβερνοχώρο.
Μάθετε περισσότερα

Αν και η ακριβής ταυτότητα των ατόμων που πραγματοποιούν τις εγκληματικές επιχειρήσεις είναι προς το παρόν άγνωστη, έχουμε εντοπίσει κακόβουλες υποδομές σε όλο τον κόσμο, μεταξύ άλλων στην Κίνα, τις Ηνωμένες Πολιτείες και τη Ρωσία. Εκτός από εγκληματίες με οικονομικά κίνητρα στον κυβερνοχώρο, έχουμε παρατηρήσει παράγοντες απειλής που δρουν προς το συμφέρον ξένων κυβερνήσεων, μεταξύ άλλων από τη Ρωσία, την Κίνα, το Βιετνάμ και το Ιράν, να χρησιμοποιούν σπασμένα αντίγραφα.

Η Microsoft, η Fortra και το Health-ISAC παραμένουν αμείλικτοι στις προσπάθειές μας για τη βελτίωση της ασφάλειας του οικοσυστήματος και συνεργαζόμαστε με το τμήμα κυβερνοχώρου του FBI, την Εθνική Κοινή Ομάδα Έρευνας στον Κυβερνοχώρο (NCIJTF) και το Ευρωπαϊκό Κέντρο Ηλεκτρονικού Εγκλήματος της Europol (EC3) πάνω σε αυτή την υπόθεση. Αν και η ενέργεια αυτή θα επηρεάσει τις άμεσες επιχειρήσεις των εγκληματιών, αναμένουμε ότι θα προσπαθήσουν να αναζωογονήσουν τις προσπάθειές τους. Επομένως, η δράση μας δεν είναι μονοσήμαντη. Μέσω συνεχούς νομικής και τεχνικής δράσης, η Microsoft, η Fortra και η Health-ISAC, μαζί με τους συνεργάτες μας, θα συνεχίσουν να παρακολουθούν και να αναλαμβάνουν δράση για τη διακοπή περαιτέρω εγκληματικών ενεργειών, συμπεριλαμβανομένης της χρήσης σπασμένων αντιγράφων του Cobalt Strike.

Η Fortra αφιερώνει σημαντικούς υπολογιστικούς και ανθρώπινους πόρους για την καταπολέμηση της παράνομης χρήσης του λογισμικού της και των σπασμένων αντιγράφων του Cobalt Strike, βοηθώντας τους πελάτες να διαπιστώσουν αν οι άδειες χρήσης του λογισμικού τους έχουν παραβιαστεί. Οι νόμιμοι επαγγελματίες ασφαλείας που αγοράζουν άδειες χρήσης του Cobalt Strike ελέγχονται από την Fortra και υποχρεούνται να συμμορφώνονται με τους περιορισμούς χρήσης και τους ελέγχους εξαγωγών. Η Fortra συνεργάζεται ενεργά με τα κοινωνικά μέσα και τους ιστότοπους διαμοιρασμού αρχείων για την αφαίρεση σπασμένων αντιγράφων του Cobalt Strike όταν εμφανίζονται σε αυτές τις υπηρεσίες web. Καθώς οι εγκληματίες έχουν προσαρμόσει τις τεχνικές τους, η Fortra έχει προσαρμόσει τους ελέγχους ασφαλείας στο λογισμικό Cobalt Strike για να εξαλείψει τις μεθόδους που χρησιμοποιούνται για την παραβίαση παλαιότερων εκδόσεων του Cobalt Strike.

Όπως κάνουμε από το 2008, η DCU της Microsoft θα συνεχίσει τις προσπάθειές της να σταματήσει την εξάπλωση του κακόβουλου λογισμικού καταθέτοντας αστικές αγωγές για την προστασία των πελατών σε μεγάλο αριθμό χωρών σε όλο τον κόσμο όπου ισχύουν αυτοί οι νόμοι. Θα συνεχίσουμε επίσης να συνεργαζόμαστε με τις ISP και CERT για τον εντοπισμό και την αποκατάσταση των θυμάτων.

Σχετικά άρθρα

Τρεις τρόποι για να προστατευτείτε από το ransomware

Η σύγχρονη άμυνα κατά του ransomware απαιτεί πολλά περισσότερα από τη δημιουργία μέτρων ανίχνευσης. Ανακαλύψτε τους τρεις κορυφαίους τρόπους με τους οποίους μπορείτε να ενισχύσετε την ασφάλεια του δικτύου σας έναντι του ransomware σήμερα.
Μάθετε περισσότερα

Το Ransomware ως υπηρεσία: Το νέο πρόσωπο του εγκλήματος στον κυβερνοχώρο

Το νεότερο επιχειρηματικό μοντέλο του εγκλήματος στον κυβερνοχώρο, οι επιθέσεις από ανθρώπους, ενθαρρύνει εγκληματίες διαφορετικών ικανοτήτων.
Μάθετε περισσότερα

Πίσω από τα παρασκήνια με τον ειδικό σε θέματα ηλεκτρονικού εγκλήματος και καταπολέμησης ransomware Nick Carr

Ο Nick Carr, Επικεφαλής της ομάδας πληροφοριών για το έγκλημα στον κυβερνοχώρο στο Κέντρο πληροφοριών της Microsoft σχετικά με απειλές, συζητά τις τάσεις του ransomware, εξηγεί τι κάνει η Microsoft για να προστατεύσει τους πελάτες της από το ransomware και περιγράφει τι μπορούν να κάνουν οι οργανισμοί σε περίπτωση που έχουν πληγεί από αυτό.
Μάθετε περισσότερα

Ακολουθήστε την Ασφάλεια της Microsoft