Dobijte uvide izravno od stručnjaka na podcastu Microsoftova obavještavanja o prijetnjama. Poslušajte odmah.

Zaustavljanje računalnih zločinaca u zloupotrebi sigurnosnih alata

Microsoftov Odjel za digitalne zločine (DCU), softverska tvrtka za računalnu sigurnost Fortra™ i Centar za razmjenu i analizu informacija o stanju (Health-ISAC) poduzimaju tehničke i pravne radnje kako bi omeli krekirane, naslijeđene kopije alata Cobalt Strike i zloupotrijebljeni Microsoftov softver, koje koriste računalni zločinci za širenje zlonamjernog softvera, uključujući ucjenjivački softver. Ovo je promjena u odnosu na način na koji je DCU radio u prošlosti – opseg je veći, a operacija složenija. Umjesto da ometamo upravljanje i kontrolu nad obitelji zlonamjernog softvera, ovaj put s tvrtkom Fortra radimo na uklanjanju ilegalnih, naslijeđenih kopija alata Cobalt Strike kako ih računalni zločinci više ne bi mogli koristiti.

Moramo biti uporni dok radimo na uklanjanju krekiranih, naslijeđenih kopija alata Cobalt Strike koje se nalaze diljem svijeta. Ovo je važna akcija koju Fortra provodi kako bi zaštitila zakonitu upotrebu svojih sigurnosnih alata. Microsoft je jednako predan zakonitom korištenju njegovih proizvoda i usluga. Vjerujemo i da je odluka tvrtke Fortra da se udruži s nama u ovoj akciji priznanje za rad DCU-a u borbi protiv računalnog zločina tijekom posljednjeg desetljeća. Zajedno smo predani praćenju nezakonitih postupaka širenja računalnih zločinaca.

Cobalt Strike legitiman je i popularan alat nakon eksploatacije koji se koristi za simulaciju protivnika, a osigurava ga Fortra. Ponekad zločinci zloupotrebljavaju i mijenjaju starije verzije softvera. Te se ilegalne kopije nazivaju „krekiranim”, a koriste se za pokretanje destruktivnih napada, poput onih protiv Vlade Kostarike i Izvršne uprave za javno zdravstvo Republike Irske. Microsoftovi paketi za razvojne programere i API-ji zloupotrebljavaju se kao dio šifriranja zlonamjernog softvera, kao i infrastruktura za širenje zlonamjernog softvera za ciljanje i zavaravanje žrtava.

Obitelji ucjenjivačkog softvera povezane s krekiranim kopijama alata Cobalt Strike ili one koje ih koriste povezane su s više od 68 napada ucjenjivačkog softvera koji su usmjereni na zdravstvene organizacije u više od 19 zemalja diljem svijeta. Ti su napadi koštali bolničke sustave milijune dolara troškova oporavka i popravka te doveli do prekida u pružanju usluga intenzivne njege pacijenata, uključujući odgođene dijagnostičke, slikovne i laboratorijske nalaze, otkazane medicinske zahvate i kašnjenja u pružanju kemoterapije, da spomenemo samo neke.

Globalno širenje krekiranih kopija alata Cobalt Strike

Microsoftovi podaci pokazuju globalno širenje računala zaraženih krekiranim kopijama alata Cobalt Strike.

31. ožujka 2023., SAD Okružni sud za istočni okrug New Yorka izdao je sudski nalog kojim je Microsoftu, tvrtki Fortra i Health-ISAC-u dopušteno da ometaju zlonamjernu infrastrukturu koju koriste zločinci kako bi olakšali svoje napade. To nam omogućuje da obavijestimo relevantne davatelje internetskih usluga (ISP-ove) i timove za hitne računalne slučajeve (CERT-ove) koji pomažu u isključivanju infrastrukture, učinkovito prekidajući vezu između zločinačkih operatera i zaraženih računala žrtava.

Istraživački napori tvrtke Fortra i Microsofta uključivali su otkrivanje, analizu, telemetriju i obrnuti inženjering, s dodatnim podacima i uvidima za jačanje našeg pravnog slučaja iz globalne mreže partnera, uključujući podatke i uvide Health-ISAC-a, tima tvrtke Fortra za računalno obavještavanje i Microsoftova tima za obavještavanje o prijetnjama. Naša akcija usmjerena je isključivo na ometanje probijenih, naslijeđenih kopija alata Cobalt Strike i kompromitiranog Microsoftova softvera.

Microsoft također proširuje pravni postupak koji se uspješno koristi za ometanje zlonamjernog softvera i operacija nacionalne države kako bi spriječio zloupotrebu sigurnosnih alata koje koristi široki spektar računalnih zločinaca. Ometanje krekiranih naslijeđenih kopija alata Cobalt Strike značajno će spriječiti unovčavanje tih ilegalnih kopija i usporiti njihovu upotrebu u računalnim napadima, prisiljavajući zločince da preispitaju i promijene svoje taktike. Današnja akcija uključuje i tužbe za autorska prava protiv zlonamjerne upotrebe softverskog koda tvrtki Microsoft i Fortra koji se mijenja i zloupotrebljava radi uzrokovanja štete.

Fortra je poduzela značajne korake kako bi spriječila zloupotrebu svog softvera, uključujući stroge prakse provjere klijenata. Međutim, poznato je da zločinci kradu starije verzije sigurnosnog softvera, uključujući Cobalt Strike, i stvaraju krekirane kopije kako bi ostvarili neovlašten pristup računalima i implementirali zlonamjerni softver. Promatrali smo operatere ucjenjivačkog softvera koji koriste krekirane kopije alata Cobalt Strike i zloupotrebljavaju Microsoftov softver kako bi implementirali Conti, LockBit i druge ucjenjivačke softvere kao dio poslovnog modela ucjenjivačkog softvera kao usluge.

Zlonamjerni akteri koriste krekirane kopije softvera kako bi ubrzali implementaciju ucjenjivačkog softvera na kompromitiranim mrežama. Dijagram u nastavku prikazuje tijek napada, ističući čimbenike koji doprinose, uključujući individualiziranu krađu identiteta i zlonamjerne neželjene poruke e-pošte za dobivanje početnog pristupa, kao i zloupotrebu koda ukradenog od tvrtki kao što su Microsoft i Fortra.

Dijagram tijeka napada zlonamjernog aktera

Primjer tijeka napada zlonamjernog aktera DEV-0243.

Izdvojeno

Microsoftovo izvješće o digitalnoj zaštiti za 2023.: Izgradnja računalne otpornosti

U najnovijem izdanju Microsoftova izvješća o digitalnoj zaštiti istražuje se evoluirajuće okruženje prijetnji te analiziraju prilike i izazovi dok postajemo računalno otporniji.

Saznajte više

Iako su točni identiteti onih koji provode zločinačke operacije trenutačno nepoznati, otkrili smo zlonamjernu infrastrukturu diljem svijeta, uključujući Kinu, Sjedinjene Američke Države i Rusiju. Osim financijski motiviranih računalnih zločinaca, uočili smo zlonamjerne aktere koji djeluju u interesu stranih vlada, uključujući one iz Rusije, Kine, Vijetnama i Irana, koji koriste krekirane kopije.

Microsoft, Fortra i Health-ISAC ostaju neumoljivi u naporima da poboljšaju sigurnost ekosustava, a na ovom slučaju surađuju s FBI-evim računalnim odjelom, Nacionalnom zajedničkom radnom skupinom za računalne istrage (NCIJTF) i Europolovim Europskim centrom za računalne zločine (EC3). Iako će ova akcija utjecati na neposredne operacije zločinaca, unaprijed očekujemo da će pokušati oživjeti svoje napore. Naša akcija stoga nije samo jedna niti je gotova. Kroz pravne i tehničke radnje koje su u tijeku, Microsoft, Fortra i Health-ISAC, zajedno s partnerima, nastavit će nadzirati i poduzimati radnje za ometanje daljnjih zločinačkih operacija, uključujući korištenje krekiranih kopija alata Cobalt Strike.

Fortra ulaže značajne računalne i ljudske resurse u borbi protiv ilegalne upotrebe njezina softvera i krekiranih kopija alata Cobalt Strike, pomažući klijentima da utvrde jesu li njihove softverske licence ugrožene. Fortra provjerava legitimne sigurnosne stručnjake koji kupe licence za Cobalt Strike i moraju se pridržavati ograničenja korištenja i kontrole izvoza. Fortra aktivno surađuje s društvenim mrežama i web-mjestima za dijeljenje datoteka kako bi uklonila krekirane alata kopije Cobalt Strike kada se pojave na tim web svojstvima. Budući da su zločinci prilagodili svoje tehnike, Fortra je prilagodila sigurnosne kontrole u softveru Cobalt Strike kako bi eliminirala postupke koji su korišteni za krekiranje starijih verzija alata Cobalt Strike.

Kao što smo to činili od 2008. godine, Microsoftov DCU nastavit će s naporima da zaustavi širenje zlonamjernog softvera pokretanjem građanskih parnica radi zaštite klijenata u velikom broju zemalja diljem svijeta u kojima su ovi zakoni na snazi. Također ćemo nastaviti surađivati s ISP-ovima i CERT-ovima kako bismo identificirali i pravno zaštitili žrtve.

Računalni zločin Ucjenjivački softver Zlonamjerni akteri

Povezani članci

Tri načina zaštite od ucjenjivačkog softvera

Moderna obrana od ucjenjivačkog softvera zahtijeva puno više od postavljanja mjera detekcije. Saznajte top tri načina kojima možete osnažiti danas sigurnost mreže od ucjenjivačkog softvera.

Saznajte više

Ucjenjivački softver kao usluga: Novo lice industrijaliziranog računalnog zločina

Najnoviji poslovni model računalnog zločina, napadi kojima upravljaju ljudi, ohrabruje zločince različitih sposobnosti.

Saznajte više

Iza kulisa sa stručnjakom za računalni zločin i borbu protiv ucjenjivačkog softvera Nickom Carrom

Nick Carr, voditelj tima za obavještavanje o računalnom zločinu u Microsoftovu centru za obavještavanje o prijetnjama, govori o trendovima zlonamjernog softvera, objašnjava što Microsoft čini kako bi zaštitio klijente od zlonamjernog softvera i opisuje što tvrtke ili ustanove mogu napraviti ako su njime pogođene.

Saznajte više

Zaustavljanje računalnih zločinaca u zloupotrebi sigurnosnih alata

Microsoftovo izvješće o digitalnoj zaštiti za 2023.: Izgradnja računalne otpornosti

U najnovijem izdanju Microsoftova izvješća o digitalnoj zaštiti istražuje se evoluirajuće okruženje prijetnji te analiziraju prilike i izazovi dok postajemo računalno otporniji.

Povezani članci

Tri načina zaštite od ucjenjivačkog softvera

Moderna obrana od ucjenjivačkog softvera zahtijeva puno više od postavljanja mjera detekcije. Saznajte top tri načina kojima možete osnažiti danas sigurnost mreže od ucjenjivačkog softvera.

Ucjenjivački softver kao usluga: Novo lice industrijaliziranog računalnog zločina

Najnoviji poslovni model računalnog zločina, napadi kojima upravljaju ljudi, ohrabruje zločince različitih sposobnosti.

Iza kulisa sa stručnjakom za računalni zločin i borbu protiv ucjenjivačkog softvera Nickom Carrom

Pratite Microsoft