Trace Id is missing

A kiberbűnözők megakadályozása a biztonsági eszközökkel való visszaélések kapcsán

Megosztás
Ikonok narancssárga háttérrel.

A Microsoft Digitális Bűnözés Elleni Csoportja (DCU), a Fortra™ kiberbiztonsági szoftvercég és a Health Information Sharing and Analysis Center (Health-ISAC) technikai és jogi intézkedéseket tesznek a Cobalt Strike és a Microsoft-szoftverek feltört, elavult példányainak használata ellen, amelyeket a kiberbűnözők rosszindulatú programok, köztük zsarolóprogramok terjesztésére használtak. Ez változást jelent a DCU eddigi munkamódszeréhez képest – a hatókör nagyobb, a működés pedig összetettebb lett. A kártevőcsalád irányításának és vezérlésének megzavarása helyett ezúttal a Fortrával együttműködve a Cobalt Strike illegális, örökölt példányainak eltávolításán dolgozunk, hogy a kiberbűnözők ne használhassák őket a továbbiakban.

Kitartóan kell dolgoznunk azon, hogy a Cobalt Strike feltört, örökölt példányait eltávolítsuk a világ minden táján. Ez egy fontos intézkedés a Fortra részéről annak érdekében, hogy gondoskodjon a biztonsági eszközeinek jogszerű használatáról. A Microsoft hasonlóképpen elkötelezett termékei és szolgáltatásai jogszerű használata mellett. Úgy véljük továbbá, hogy az, hogy a Fortra úgy döntött, hogy partnerünk lesz ebben az akcióban, egyúttal a DCU által az elmúlt évtizedben a kiberbűnözés ellen folytatott munka elismerése is. Közösen törekszünk a kiberbűnözők illegális terjesztési módszerei ellen.

A Cobalt Strike egy legitim és népszerű eszköz a támadások utáni támadási szimulációhoz, amelyet a Fortra biztosít. A szoftver régebbi verzióit néha bűnözők módosították és visszaéltek vele. Ezeket az illegális példányokat feltörtnek nevezik, és pusztító támadások indítására használták fel őket például a Costa Rica-i kormány és az ír egészségügyi szolgálat ellen. A Microsoft szoftverfejlesztő készleteit és API-jait a kártevő szoftverek kódolásának részeként, valamint a kártevő szoftverek terjesztési infrastruktúrájában használják ki, hogy célba vegyék és félrevezessék az áldozatokat.

A Cobalt Strike feltört példányaihoz köthető vagy azok által telepített zsarolóprogram-családok több mint 68 zsarolóprogram-támadásnál jelentek meg, amelyek a világ több mint 19 országában támadtak meg egészségügyi szervezeteket. Ezek a támadások dollármilliókba kerültek a kórházi rendszereknek a helyreállítási és javítási költségek tekintetében, és emellett fennakadásokat okoztak a kritikus betegellátási szolgáltatásokban, beleértve a diagnosztikai, képalkotó és laboratóriumi eredmények késését, az orvosi eljárások elmaradását és a kemoterápiás kezelések késedelmét, hogy csak néhányat említsünk.

A Cobalt Strike feltört példányainak globális elterjedése
A Microsoft adatai a Cobalt Strike feltört példányai által megfertőzött számítógépek globális elterjedését mutatják.

2023. március 31-én az Egyesült Államok New York keleti kerületének kerületi bírósága bírósági végzést adott ki, amely lehetővé teszi a Microsoft, a Fortra és a Health-ISAC számára, hogy megszakítsa a bűnözők által a támadásaik elősegítésére használt rosszindulatú infrastruktúrát. Ez lehetővé teszi számunkra, hogy értesítsük az érintett internetszolgáltatókat és a számítógépes vészhelyzeti készenléti csoportokat (CERT-ket), amelyek segítenek az infrastruktúra offline állapotba helyezésében, így gyakorlatilag megszakítva a kapcsolatot a bűnözők és az áldozatok megfertőzött számítógépei között.

A Fortra és a Microsoft vizsgálati tevékenységei közé tartozott a felderítés, az elemzés, a telemetria és a visszafejtés, valamint a jogi érvelés megerősítésére szolgáló további adatok és betekintések beszerzése a partnerek globális hálózatából, köztük a Health-ISAC, a Fortra Cyber Intelligence Team, valamint a Microsoft Veszélyforrás-intelligencia csapatának adataiból és betekintéseiből. Fellépésünk kizárólag a Cobalt Strike feltört, örökölt példányainak és a Microsoft-szoftverek feltört példányainak megzavarására irányul.

A Microsoft a rosszindulatú szoftverek és nemzetállami műveletek megzavarására sikeresen alkalmazott jogi módszert kiterjeszti a kiberbűnözők széles köre által használt biztonsági eszközökkel való visszaélésre is. A Cobalt Strike feltört örökölt példányainak megzavarása jelentősen akadályozni fogja az ezen illegális példányokkal folytatott jövedelemszerzést, és lelassítja a kibertámadásokhoz való felhasználásukat, így a bűnözőket arra kényszeríti, hogy átértékeljék és megváltoztassák taktikájukat. A mai akció a Microsoft és a Fortra szoftverkódjának rosszindulatú felhasználásával szembeni szerzői jogi követeléseket is magában foglalja, mivel ezeket megváltoztatták és kárt okozó visszaéléseket követtek el velük.

A Fortra jelentős lépéseket tett a szoftverével való visszaélés megakadályozása érdekében, beleértve a szigorú ügyfél-átvilágítási gyakorlatot is. A bűnözők azonban köztudottan ellopják a biztonsági szoftverek régebbi verzióit, köztük a Cobalt Strike-ot is, és feltört példányokat készítenek, hogy hátsó ajtós hozzáférést szerezzenek a gépekhez, és rosszindulatú szoftvereket telepítsenek rajtuk. Megfigyeltük, hogy a zsarolóvírusok üzemeltetői a Cobalt Strike feltört példányait és a visszaélésszerűen használt Microsoft-szoftvereket használják a Conti, a LockBit és más zsarolóvírusok telepítésére a szolgáltatásként nyújtott zsarolóvírus üzleti modell részeként.

A fenyegető szereplők feltört szoftverpéldányokat használnak, hogy gyorsabban telepíthessék a zsarolóvírusokat a megtámadott hálózatokon. Az alábbi ábra egy támadási folyamatot mutat be, kiemelve a támogató tényezőket, köztük a célzott adathalászatot és a rosszindulatú levélszemét e-maileket a kezdeti hozzáférés megszerzéséhez, valamint a Microsofttól, a Fortrától vagy más vállalatoktól ellopott kóddal való visszaélést.

A fenyegető szereplő támadásának folyamatábrája
Példa a DEV-0243 fenyegető szereplő támadási folyamatára.
Microsoft Digitális Védelem
Kiemelt

2023-as Microsoft Digitális védelmi jelentés: A kiberbiztonsági ellenállóképesség kialakítása

A Microsoft Digitális védelmi jelentés legújabb kiadása a változó fenyegetettségi környezetet vizsgálja, és végigveszi a lehetőségeket és kihívásokat a kibervédelem ellenállóképességének növelésével kapcsolatban.
További információ

Bár a bűncselekményeket végrehajtók pontos személyazonossága jelenleg nem ismert, világszerte, többek között Kínában, az Egyesült Államokban és Oroszországban is észleltünk rosszindulatú infrastruktúrát. A pénzügyi motivációjú kiberbűnözőkön kívül azt is megfigyeltük, hogy a fenyegető szereplők külföldi kormányok, többek között Oroszország, Kína, Vietnám és Irán érdekeit szolgálják a feltört példányok felhasználásával.

A Microsoft, a Fortra és a Health-ISAC továbbra is kitartóan törekszik az ökoszisztéma biztonságának javítására, és ebben az ügyben együttműködünk az FBI kiberosztályával, a Nemzeti Kibernyomozó Egyesített Munkacsoporttal (NCIJTF) és az Europol Európai Kiberbűnözési Központjával (EC3). Bár ez az intézkedés hatással lesz a bűnözők pillanatnyi működésére, azzal számolunk, hogy megkísérlik majd felélénkíteni erőfeszítéseiket. Cselekvésünk ezért nem egyszer és mindenkorra szól. A Microsoft, a Fortra és a Health-ISAC folyamatos jogi és technikai lépésekkel, illetve a partnereikkel való együttműködéssel továbbra is figyelemmel kísérik a további bűncselekményeket, beleértve a Cobalt Strike feltört példányainak használatát is, és fellépnek azok megszakítása érdekében.

A Fortra jelentős számítási és emberi erőforrásokat fordít a szoftverének illegális használata és a Cobalt Strike feltört példányai elleni küzdelemre, segítve az ügyfeleit annak megállapításában, hogy a szoftverlicencük sérült-e. A Fortra ellenőrzi a Cobalt Strike-licenceket megvásárló, jogszerűen működő biztonsági szakembereket, akiknek meg kell felelniük a felhasználási korlátozásoknak és az exportálásra vonatkozó előírásoknak. A Fortra aktívan együttműködik a közösségi médiás és fájlmegosztó oldalakkal, hogy eltávolítsa a Cobalt Strike feltört példányait, amikor azok megjelennek ezeken a webes felületeken. Mivel a bűnözők módosították a technikáikat, a Fortra a Cobalt Strike szoftver biztonsági ellenőrzéseit úgy alakította át, hogy kiküszöbölje a Cobalt Strike régebbi verzióinak feltörésére használt módszereket.

Ahogy 2008 óta teszi, a Microsoft DCU folytatja erőfeszítéseit a rosszindulatú szoftverek terjedésének megállítására, és polgári peres eljárásokat indít az ügyfelek védelme érdekében a világ számos olyan országában, ahol ilyen törvények hatályban vannak. Továbbra is együttműködünk az internetszolgáltatókkal és a CERT-ekkel az áldozatok azonosítása és a szervizelés érdekében.

Kapcsolódó cikkek

Három módszer a zsarolóprogramok elleni védelemre

A zsarolóvírusok elleni védekezéshez manapság már nem elegendő az észleléssel kapcsolatos lépésekről gondoskodni. Ismerje meg a három legfontosabb módszert, amellyel még ma megerősítheti hálózata zsarolóprogramok elleni biztonságát.
További információ

Zsarolóvírusok mint szolgáltatás: Az iparosodott kiberbűncselekmények új arca

A kiberbűncselekmények legújabb üzleti modellje, az ember által irányított támadások különböző képességű bűnözőket bátorítanak cselekvésre.
További információ

A színfalak mögött Nick Carr-ral, a kiberbűncselekmények és a zsarolóvírusok szakértőjével

Nick Carr, a Microsoft veszélyforrás-felderítési központjának kiberbűncselekmények felderítésével foglalkozó csapatának vezetője ismerteti a zsarolóvírusokkal kapcsolatos trendeket, elmondja, hogy mit tesz a Microsoft, hogy megvédje az ügyfeleit a zsarolóvírusoktól, és arról is szót ejt, hogy a szervezetek mit tehetnek, ha ilyen támadás éri őket.
További információ

A Microsoft követése