Trace Id is missing

Impedir que los ciberdelincuentes abusen de las herramientas de seguridad

Conjunto de iconos sobre fondo naranja.

La Unidad de Crímenes Digitales de Microsoft (DCU), la compañía de software de ciberseguridad Fortra™ y Health Information Sharing and Analysis Center (Health-ISAC) están tomando medidas técnicas y legales para interrumpir las copias crackeadas y heredadas de Cobalt Strike y el software abusado de Microsoft, que los ciberdelincuentes han utilizado para distribuir malware, incluido ransomware. Esto supone un cambio en la forma en que DCU ha trabajado en el pasado: el ámbito es mayor y la operación es más compleja. En lugar de interrumpir el sistema de mando y control de una familia de malware, esta vez estamos trabajando con Fortra para eliminar las copias ilegales y heredadas de Cobalt Strike, de modo que los ciberdelincuentes ya no puedan utilizarlas.

Tendremos que ser persistentes mientras trabajamos para acabar con las copias crackeadas y heredadas de Cobalt Strike hospedadas en todo el mundo. Se trata de una acción importante de Fortra para proteger el uso legítimo de sus herramientas de seguridad. Microsoft está igualmente comprometida con el uso legítimo de sus productos y servicios. También creemos que el hecho de que Fortra haya decidido asociarse con nosotros para esta acción es un reconocimiento a la labor de DCU en la lucha contra la ciberdelincuencia durante la última década. Juntos, nos comprometemos a perseguir los métodos de distribución ilegal de los ciberdelincuentes.

Cobalt Strike es una herramienta de posaprovechamiento legítima y popular utilizada para la simulación de adversarios proporcionada por Fortra. En ocasiones, los delincuentes han abusado de versiones anteriores del software y las han alterado. Estas copias ilegales se denominan "crackeadas" y se han utilizado para lanzar ataques destructivos, como los perpetrados contra el Gobierno de Costa Rica y el Irish Health Service Executive. Los kits de desarrollo de software y las API de Microsoft se utilizan indebidamente como parte de la codificación del malware, así como de la infraestructura de distribución del malware delictivo para atacar y engañar a las víctimas.

Las familias de ransomware asociadas o implementadas por copias crackeadas de Cobalt Strike se han relacionado con más de 68 ataques de ransomware que han afectado a organizaciones sanitarias en más de 19 países de todo el mundo. Estos ataques han costado a los sistemas hospitalarios millones de dólares en costes de recuperación y reparación, además de interrupciones en servicios críticos de atención al paciente, como retrasos en los diagnósticos, en los resultados de las pruebas de imagen y de laboratorio, cancelación de procedimientos médicos y demoras en la administración de tratamientos de quimioterapia, por nombrar solo algunos.

Distribución mundial de copias crackeadas de Cobalt Strike
Datos de Microsoft que muestran la propagación mundial de ordenadores infectados por copias crackeadas de Cobalt Strike.

El 31 de marzo de 2023, el Tribunal de Distrito de EE. UU. para el Distrito Este de Nueva York emitió una orden judicial que permite a Microsoft, Fortra y Health-ISAC interrumpir la infraestructura maliciosa utilizada por los delincuentes para facilitar sus ataques. Esto nos permite notificar a los proveedores de servicios de Internet (ISP) pertinentes y a los equipos de preparación para emergencias informáticas (CERT), que ayudan a desconectar la infraestructura, cortando eficazmente la conexión entre los operadores delictivos y los ordenadores infectados de las víctimas.

Las tareas de investigación de Fortra y Microsoft incluyeron la detección, el análisis, la telemetría y la ingeniería inversa, con datos e información adicionales para reforzar nuestro caso legal procedentes de una red global de asociados, incluidos Health-ISAC, el equipo de ciberinteligencia de Fortra y los datos e información del equipo de Inteligencia contra amenazas de Microsoft. Nuestra acción se centra únicamente en interrumpir las copias crackeadas y heredadas de Cobalt Strike y el software de Microsoft comprometido.

Microsoft también está ampliando un método legal utilizado con éxito para interrumpir el malware y las operaciones de los Estados nación para atacar el abuso de las herramientas de seguridad utilizadas por un amplio espectro de ciberdelincuentes. La interrupción de las copias crackeadas heredadas de Cobalt Strike dificultará significativamente la monetización de estas copias ilegales y ralentizará su uso en ciberataques, lo que obligará a los delincuentes a reevaluar y cambiar sus tácticas. Las acciones actuales también incluyen reclamaciones de derechos de autor contra el uso malintencionado del código de software de Microsoft y Fortra, que se altera y abusa de él para causar daños.

Fortra ha tomado medidas considerables para evitar el uso indebido de su software, incluidas estrictas prácticas de control de clientes. Sin embargo, se sabe que los delincuentes roban versiones anteriores del software de seguridad, como Cobalt Strike, y crean copias crackeadas para acceder por la puerta trasera a las máquinas e implementar programas maliciosos. Hemos observado que los operadores de ransomware utilizan copias crackeadas de Cobalt Strike y abusan del software de Microsoft para implementar Conti, LockBit y otros ransomware como parte del modelo de negocio del ransomware como servicio.

Los actores de amenazas utilizan copias crackeadas de software para acelerar la implementación de su ransomware en redes comprometidas. El siguiente diagrama muestra el flujo de un ataque, destacando los factores que contribuyen al mismo, incluyendo el phishing de objetivo definido y los correos spam maliciosos para obtener el acceso inicial, así como el uso indebido de código robado de empresas como Microsoft y Fortra.

Diagrama de flujo del ataque del actor de amenaza
Ejemplo de flujo de ataque del actor de amenaza DEV-0243.
Protección digital de Microsoft
Destacados

Informe de protección digital de Microsoft de 2023: Crear resiliencia cibernética

La última edición del Informe de protección digital de Microsoft explora el cambiante panorama de las amenazas y recorre las oportunidades y los desafíos a medida que nos volvemos resilientes cibernéticos.

Aunque por el momento se desconoce la identidad exacta de quienes llevan a cabo las operaciones delictivas, hemos detectado infraestructuras maliciosas en todo el mundo, incluidos China, Estados Unidos y Rusia. Además de ciberdelincuentes con motivaciones económicas, hemos observado que algunos actores de amenazas actúan en interés de gobiernos extranjeros, como los de Rusia, China, Vietnam e Irán, utilizando copias crackeadas.

Microsoft, Fortra y Health-ISAC no cejamos en nuestro empeño de mejorar la seguridad del ecosistema, y estamos colaborando en este caso con la División Cibernética del FBI, la National Cyber Investigative Joint Task Force (NCIJTF) y el Centro Europeo de Ciberdelincuencia (EC3) de Europol. Aunque esta acción afectará a las operaciones inmediatas de los delincuentes, prevemos plenamente que intentarán reavivar sus actividades. Así que nuestra batalla está lejos de haber terminado. A través de acciones legales y técnicas continuas, Microsoft, Fortra y Health-ISAC, junto con nuestros asociados, seguirán supervisando y tomando medidas para interrumpir nuevas operaciones delictivas, incluido el uso de copias crackeadas de Cobalt Strike.

Fortra dedica importantes recursos informáticos y humanos a combatir el uso ilegal de su software y las copias crackeadas de Cobalt Strike, y ayuda a los clientes a determinar si sus licencias de software se han visto comprometidas. Los profesionales de la seguridad legítimos que adquieren licencias de Cobalt Strike pasan un control por parte de Fortra y deben cumplir las restricciones de uso y los controles de exportación. Fortra trabaja activamente con las redes sociales y los sitios de intercambio de archivos para eliminar las copias crackeadas de Cobalt Strike cuando aparecen en esas propiedades web. A medida que los delincuentes han ido adaptando sus técnicas, Fortra ha adaptado los controles de seguridad del software Cobalt Strike para eliminar los métodos utilizados para descifrar versiones anteriores de Cobalt Strike.

Como llevamos haciendo desde 2008, la DCU de Microsoft seguirá esforzándose por detener la propagación del malware mediante la interposición de litigios civiles para proteger a los clientes en numerosos países de todo el mundo en los que existen estas leyes. También seguiremos trabajando con los ISP y los CERT para identificar y reparar a las víctimas.

Artículos relacionados

Tres formas para protegerse del ransomware

La defensa moderna frente a ransomware requiere mucho más que configurar medidas de detección. Descubra las tres formas principales con las que puede fortalecer la seguridad de la red contra ransomware hoy en día.

Ransomware como servicio: La nueva cara del ciberdelito industrializado

El nuevo modelo de negocio del ciberdelito, los ataques operados por humanos, anima a delincuentes de distintas habilidades.

Entre bastidores con el experto en ciberdelincuencia y lucha contra el ransomware Nick Carr

Nick Carr, jefe del equipo de inteligencia en materia de ciberdelincuencia del Microsoft Threat Intelligence Center, analiza las tendencias del ransomware, explica qué está haciendo Microsoft para proteger a los clientes del ransomware y describe qué pueden hacer las organizaciones si se han visto afectadas por él.

Seguir a Seguridad de Microsoft