Trace Id is missing

Kibernoziedznieku ļaunprātīgās drošības rīku izmantošanas apturēšana

Kopīgot
Ikonu kopa uz oranža fona.

Microsoft digitālo noziegumu nodaļa (Digital Crimes Unit — DCU), kiberdrošības programmatūras uzņēmums Fortra™ un Veselības informācijas koplietošanas un analīzes centrs (Health Information Sharing and Analysis Center — Health-ISAC) veic tehniskas un juridiskas darbības, lai novērstu uzlauztu mantoto Cobalt Strike kopiju un nepareizi lietotas Microsoft programmatūras izmantošanu, kuru kibernoziedznieki izmanto, lai izplatītu ļaunprogrammatūru, tostarp izspiedējprogrammatūru. Šīs ir izmaiņas, kas DCU veidā iepriekš jau darbojās — tvērums ir lielāks, un operācija ir sarežģītāka. Tā vietā, lai izjauktu ļaunprogrammatūras saimes pārvaldīšanu un vadību, šoreiz mēs sadarbojamies ar Fortra, lai noņemtu pretlikumīgas, mantotas Cobalt Strike kopijas un lai kibernoziedznieki tās vairs nevarētu izmantot.

Mums būs jābūt neatlaidīgiem, strādājot, lai noņemtu uzlauztas Cobalt Strike mantotās kopijas, kas tiek viesotas visā pasaulē. Šī ir svarīga uzņēmuma Fortra darbība, lai aizsargātu tā drošības rīku likumīgu izmantošanu. Korporācijas Microsoft ir līdzīgi apņēmusies nodrošināt savu produktu un pakalpojumu likumīgu lietošanu. Mēs arī uzskatām, ka Fortra izvēle šīs darbības veikšanai sadarboties ar mums ir atzinība DCU darbam, pēdējās desmitgades laikā cīnoties ar kriminālnoziegumiem. Kopā mēs apņemamies izskaust kibernoziedznieku nelikumīgos izplatīšanas paņēmienus.

Cobalt Strike ir likumīgs un populārs pēcizmantošanas rīks pretinieka simulēšanai, ko nodrošina Fortra. Dažkārt kriminālnoziedznieki senākas šīs programmatūras versijas nepareizi lietoto un izmaina. Šīs nelikumīgās kopijas tiek sauktas par “uzlauztām” un tiek izmantotas, lai palaistu postošus uzbrukumus, piemēram, pret Kostarikas valsts iestādēm un organizāciju Irish Health Service Executive. Microsoft programmatūras izstrādes komplekti un API tiek nepareizi lietoti ļaunprogrammatūras kodēšanas ietvaros, kā arī kriminālās ļaunprogrammatūras izplatīšanas infrastruktūrā, lai mērķētu uz upuriem un tos maldinātu.

Izspiedējprogrammatūras saimes, kas saistītas ar uzlauztajām Cobalt Strike kopijām vai izvietotas ar tām, bija saistītas ar vairāk nekā 68 izspiedējprogrammatūras uzbrukumiem, kas ietekmēja veselības aprūpes organizācijas vairāk nekā 19 pasaules valstīs. Šie uzbrukumi slimnīcu sistēmām ir izmaksājuši miljoniem dolārus, kas tērēti atkopšanai un labošanai, kā arī ir radušies kritisku pacientu aprūpes pakalpojumu pārtraukumi, ieskaitot aizkavētu diagnostiku, aizkavētus attēlu apstrādes un laboratorijas rezultātus, atceltas medicīniskās procedūras un ķīmijterapijas nodrošināšanas aizkaves, un tie ir tikai daži piemēri.

Uzlauztu Cobalt Strike kopiju globālā izplatība
Microsoft dati, kas rāda ar uzlauztām Cobalt Strike kopijām inficēto datoru globālo izplatību.

2023. gada 31. martā ASV Ņujorkas Austrumu apgabala tiesa izdeva tiesas orderi, kas korporācijai Microsoft, uzņēmumam Fortra un organizācijai Health-ISAC atļauj izjaukt tās ļaunprātīgās infrastruktūras darbību, kuru noziedznieki izmanto, lai sekmētu savus uzbrukumus. Tas mums ļauj informēt atbilstošos interneta pakalpojumu sniedzējus (internet service provider — ISP) un datortrauksmes reaģēšanas komandas (computer emergency readiness team — CERT), kas palīdz atslēgt šo infrastruktūru, efektīvi pārtraucot kriminālo operatoru savienojumus ar inficēto upuru datoriem.

Fortra un Microsoft izmeklēšanas pūliņi ietvēra noteikšanu, analīzi, telemetriju un dekonstruēšanu ar papildu datiem un ieskatiem, lai stiprinātu mūsu juridisko lietu ar globālā partneru tīkla, tostarp Health-ISAC, Fortra kiberinformācijas komandas un Microsoft draudu informācijas komandas datiem un ieskatiem. Mūsu darbības pilnībā ir vērstas uz uzlauztu mantoto Cobalt Strike kopiju un apdraudētās Microsoft programmatūras darbības pārtraukšanu.

Microsoft paplašina arī juridisko metodi, kas sekmīgi izmantota, lai pārtrauktu ļaunprogrammatūras un plaša apjoma operāciju darbību, mērķējot uz drošības nīku nepareizu lietošanu, ko veic plaša spektra kibernoziedznieki. Uzlauztu mantoto Cobalt Strike kopiju darbības pārtraukšana ievērojami apgrūtinās šo pretlikumīgo kopiju monetizāciju un samazinās to izmantošanu kiberuzbrukumos, kas noziedzniekus piespiedīs pārvērtēt un mainīt savu taktiku. Šodienas darbības ietver arī autortiesību pārkāpumu prasības pret ļaunprātīgu tāda Microsoft un Fortra programmatūras koda izmantošanu, kas ir izmainīts un nepareizi lietots, lai nodarītu kaitējumu.

Uzņēmums Fortra veica nopietnas darbības, lai nepieļautu nepareizu tā programmatūras izmantošanu, tostarp ieviesa stingru klientu pārbaudes praksi. Tomēr noziedznieki, kā zināms, zog senākas drošības programmatūras, tostarp Cobalt Strike, versijas, veido uzlauztas kopijas, lai iegūtu lūkas piekļuvi mašīnām un izvietotu ļaunprogrammatūru. Esam novērojuši izspiedējprogrammatūras operatorus, kas izmanto uzlauztas Cobalt Strike kopijas un nepareizi lietotu Microsoft programmatūru, lai izvietotu Conti, LockBit un citu izspiedējprogrammatūru sava izspiedējprogrammatūras pakalpojuma biznesa modeļa ietvaros.

Draudu izpildītāji izmanto uzlauztas programmatūras kopijas, lai paātrinātu savas izspiedējprogrammatūras izvietošanu apdraudētos tīklos. Zemāk redzamā diagramma rāda uzbrukuma plūsmu, izceļot sekmējošos faktorus, tostarp mērķētas pikšķerēšanas un ļaunprātīgus e-pasta ziņojumus, lai gūtu sākotnējo piekļuvi, kā arī ļaunprātīgi izmantotu kodu, kas ir nozagts tādiem uzņēmumiem kā Microsoft un Fortra.

Draudu izpildītāja uzbrukuma plūsmas diagramma
Draudu izpildītāja DEV-0243 uzbrukuma plūsmas piemērs.
Microsoft digitālā aizsardzība
Piedāvāts

2023. gada Microsoft digitālās aizsardzības pārskats: Kiberuzbrukumu aizsardzības veidošana

Jaunākajā Microsoft digitālās aizsardzības pārskatā tiek pētīta mainīgā apdraudējumu vide un aplūkotas iespējas un izaicinājumi, kā kļūt kiberizturīgākiem.
Papildinformācija

Lai gan kriminālo darbību veicēju identitātes šobrīd nav zināmas, esam noteikuši ļaunprātīgu struktūru visā pasaulē, tostarp Ķīnā, Amerikas Savienotajās Valstīs un Krievijā. Papildus finansiāli motivētiem kibernoziedzniekiem esam novērojuši arī draudu izpildītājus, kas darbojas ārvalstu valdību interesēs, tostarp no Krievijas, Ķīnas, Vjetnamas un Irānas un izmanto uzlauztas kopijas.

Microsoft, Fortra un Health-ISAC nerimstoši cenšas uzlabot ekosistēmas drošību, un šajā lietā mēs sadarbojamies ar FIB kibernodaļu, aģentūru National Cyber Investigative Joint Task Force (NCIJTF) un Europola Eiropas kibernoziegumu centru (European Cybercrime Centre — EC3). Lai gan šī darbība ietekmēs noziedznieku tūlītējās darbības, mēs pilnībā sagaidām, ka tie mēģinās atjaunot savus centienus. Tāpēc mūsu darbība nav tikai vienreizēja. Pastāvīgi veicot juridiskās un tehniskās darbības, Microsoft, Fortra un Health-ISAC kopā ar mūsu partneriem turpinās pārraudzīt turpmākās noziedzīgās darbības, tostarp uzlauztu Cobalt Strike kopiju izmantošanu, un rīkoties, lai tās izjauktu.

Fortra atvēl ievērojamus skaitļošanas un cilvēkresursus, lai apkarotu pretlikumīgu savas programmatūras un uzlauztu Cobalt Strike kopiju izmantošanu, palīdzot klientiem noteikt, vai to programmatūras licences nav apdraudētas. Fortra pārbauda likumīgos drošības praktiķus, kas iegādājas Cobalt Strike licences, un pieprasa ievērot lietošanas ierobežojumus un eksporta kontroli. Fortra aktīvi sadarbojas ar sociālo tīklu un failu koplietošanas vietnēm, lai noņemtu uzlauztās Cobalt Strike kopijas, kad tās parādās šajos tīmekļa īpašumos. Tā kā noziedznieki ir pielāgojuši savus paņēmienus, uzņēmums Fortra ir pielāgojis drošības vadīklas Cobalt Strike programmatūrā, lai novērstu paņēmienus, kas tika izmantoti, lai uzlauztu senākas Cobalt Strike versijas.

Jau no pašiem pirmssākumiem 2008. gadā Microsoft DCU turpina un turpinās savus centienus apturēt ļaunprogrammatūras izplatību, iesniedzot civilprasības, lai aizsargātu daudzu pasaules valstu klientus, kur to pieļauj likumdošana. Mēs arī turpināsim sadarbību ar ISP un CERT, lai noteiktu un koriģētu upurus.

Saistītie raksti

Trīs paņēmieni aizsardzībai pret izspiedējprogrammatūru

Modernai aizsardzībai pret izspiedējprogrammatūru ir nepieciešams daudz vairāk nekā konstatēšanas pasākumu ieviešana. Atklājiet jau šodien trīs svarīgākos paņēmienus, kā varat pastiprināt sava tīkla drošību pret izspiedējprogrammatūru.
Papildinformācija

Izspiedējprogrammatūras pakalpojums: industriālā kibernozieguma jaunā seja

Kibernoziegumu jaunākais biznesa modelis — cilvēku vadīti uzbrukumi — iedrošina dažādu iespēju noziedzniekus.
Papildinformācija

Aizkadrā ar kibernoziegumu un izspiedējprogrammatūras apkarošanas ekspertu Niku Karru

Niks Karrs (Nick Carr), Microsoft draudu informācijas centra Kibernoziegumu informācijas komandas vadītājs, stāsta par izspiedējprogrammatūras tendencēm, skaidro, ko dara Microsoft, lai aizsargātu klientus no izspiedējprogrammatūras, un informē, ko organizācijas var darīt, ja tās ir skāruši izspiedējprogrammatūras uzbrukumi.
Papildinformācija

Sekot korporācijai Microsoft