Trace Id is missing

Preprečevanje zlorabe varnostnih orodij s strani kibernetskih zločincev

Skupna raba
Nabor ikon na oranžnem ozadju.

Microsoftova enota za digitalno kriminaliteto (DCU), podjetje za programsko opremo za kibernetsko varnost Fortra™ in Center za izmenjavo in analizo zdravstvenih informacij (Health-ISAC) sprejemajo tehnične in pravne ukrepe za onemogočanje razbitih starejših kopij orodja Cobalt Strike in zlorabljene Microsoftove programske opreme, ki so jih kibernetski kriminalci uporabljali za distribucijo zlonamerne programske opreme, vključno z izsiljevalsko programsko opremo. Gre za spremembo v dosedanjem načinu dela DCU – obseg je večji, delovanje pa bolj zapleteno. Namesto prekinitve poveljevanja in nadzora družine zlonamerne programske opreme tokrat v sodelovanju s podjetjem Fortra odstranjujemo nezakonite, starejše kopije orodja Cobalt Strike, da jih kibernetski kriminalci ne bi mogli več uporabljati.

Pri odstranjevanju razbitih, starejših kopij orodja Cobalt Strike, ki gostujejo po vsem svetu, bomo morali biti vztrajni. To je pomemben ukrep podjetja Fortra za zaščito zakonite uporabe njenih varnostnih orodij. Microsoft je prav tako zavezan zakoniti uporabi svojih izdelkov in storitev. Menimo tudi, da je odločitev podjetja Fortra, da sodeluje z nami pri tej akciji, priznanje za njeno delo v boju proti kibernetskemu kriminalu v zadnjem desetletju. Skupaj si prizadevamo preganjati nezakonite metode distribucije, ki jih uporabljajo kibernetski kriminalci.

Cobalt Strike je legitimno in priljubljeno orodje, ki se uporablja za simulacijo nasprotnikov in ga zagotavlja podjetje Fortra. Včasih so kriminalci zlorabili in spremenili starejše različice programske opreme. Te nezakonite kopije se imenujejo »razbite« in so bile uporabljene za destruktivne napade, na primer na vlado Kostarike in izvršni organ irske zdravstvene službe. Microsoftovi kompleti za razvoj programske opreme in vmesniki API so zlorabljeni kot del kodiranja zlonamerne programske opreme in kriminalne infrastrukture za distribucijo zlonamerne programske opreme za zavajanje žrtev.

Družine izsiljevalske programske opreme, povezane z razbitimi kopijami orodja Cobalt Strike, so bile povezane z več kot 68 napadi z izsiljevalsko programsko opremo, ki so prizadeli zdravstvene organizacije v več kot 19 državah po vsem svetu. Ti napadi so bolnišnične sisteme stali na milijone dolarjev zaradi stroškov obnove in popravil ter prekinitev ključnih storitev oskrbe bolnikov, vključno z zakasnitvijo diagnostičnih, slikovnih in laboratorijskih rezultatov, odpovedjo medicinskih postopkov in zamudami pri zdravljenju s kemoterapijo, če jih naštejemo le nekaj.

Globalna distribucija razbitih kopij orodja Cobalt Strike
Microsoftovi podatki, ki prikazujejo globalno razširjenost računalnikov, okuženih z razbitimi kopijami orodja Cobalt Strike.

31. marca 2023 bo ameriško Okrožno sodišče za vzhodno okrožje New Yorka izdalo sodno odredbo, s katero bo družbam Microsoft, Fortra in Health-ISAC omogočilo, da prekinejo zlonamerno infrastrukturo, ki jo kriminalci uporabljajo za lažje napade. Tako lahko obvestimo ustrezne ponudnike internetnih storitev (ISP) in skupine za pripravljenost na računalniške grožnje (CERT), ki pomagajo pri izključitvi infrastrukture, s čimer učinkovito prekinejo povezavo med zlonamernimi operaterji in okuženimi računalniki žrtev.

Preiskovalna prizadevanja podjetja Fortra in Microsofta so vključevala odkrivanje, analizo, telemetrijo in povratni inženiring ter dodatne podatke in vpoglede za okrepitev našega pravnega primera iz globalne mreže partnerjev, vključno s podatki in vpogledi skupine Health-ISAC, skupine Fortra Cyber Intelligence ter ekipe središča Obveščanje o grožnjah Microsoft. Naša akcija se osredotoča izključno na onemogočanje razpokanih starejših kopij orodja Cobalt Strike in ogrožene Microsoftove programske opreme.

Microsoft prav tako širi pravno metodo, ki je uspešno uporabljena za onemogočanje zlonamerne programske opreme in državno podprtih napadov, ki zlorabljajo varnostna orodja in jih uporabljajo različni kibernetski kriminalci. Lovljenje razbitih starejših kopij orodja Cobalt Strike bo znatno ovirala zaslužek teh nezakonitih kopij in upočasnila njihovo uporabo v kibernetskih napadih, zaradi česar bodo morali kriminalci spremeniti svoje taktike. Današnja tožba vključuje tudi zahtevke za avtorske pravice zaradi zlonamerne uporabe programske kode podjetij Microsoft in Fortra, ki se spreminja in zlorablja za škodljive namene.

Podjetje Fortra je sprejela pomembne ukrepe za preprečevanje zlorabe svoje programske opreme, vključno s strogimi postopki preverjanja strank. Vendar je znano, da kriminalci kradejo starejše različice varnostne programske opreme, vključno s programom Cobalt Strike, in ustvarjajo razbite kopije, s katerimi pridobijo dostop do računalnikov z zadnjimi vrati in namestijo zlonamerno programsko opremo. Opazili smo, da upravljavci izsiljevalske programske opreme za nameščanje programov Conti, LockBit in druge izsiljevalske programske opreme v okviru poslovnega modela izsiljevalske programske opreme kot storitve uporabljajo razbite kopije orodja Cobalt Strike in zlorabljeno Microsoftovo programsko opremo.

Napadalci uporabljajo razbite kopije programske opreme, da z njimi pospešijo namestitev izsiljevalske programske opreme v okužena omrežja. Spodnji diagram prikazuje potek napada in izpostavlja dejavnike, ki so prispevali k njegovemu nastanku, vključno z lažnim predstavljanjem (ciljano lažno predstavljanje) in zlonamernimi e-poštnimi sporočili za pridobitev začetnega dostopa ter zlorabo kode, ukradene iz podjetij, kot sta Microsoft in Fortra.

Diagram poteka napada s strani povzročitelja grožnje
Primer poteka napada s strani akterja grožnje DEV-0243.
Microsoft Digital Defense
Izpostavljeno

Poročilo o digitalni obrambi Microsoft za leto 2023: Vzpostavljanje kibernetske odpornosti

Najnovejša izdaja Poročila o digitalni obrambi Microsoft raziskuje spreminjajoče se okolje groženj ter predstavlja priložnosti in izzive, s katerimi bomo postali kibernetsko odporni.
Več informacij

Čeprav natančna identiteta storilcev kaznivih dejanj trenutno ni znana, smo zlonamerno infrastrukturo odkrili po vsem svetu, tudi na Kitajskem, v Združenih državah Amerike in Rusiji. Poleg finančno motiviranih kibernetskih kriminalcev smo opazili tudi napadalce, ki delujejo v interesu tujih vlad, med drugim iz Rusije, Kitajske, Vietnama in Irana, in uporabljajo razbite kopije.

Microsoft, Fortra in Health-ISAC si še naprej vztrajno prizadevamo za izboljšanje varnosti ekosistema in pri tem primeru sodelujemo s kibernetskim oddelkom FBI, Nacionalno skupno preiskovalno skupino za kibernetske preiskave (NCIJTF) in Europolovim Evropskim centrom za kibernetsko kriminaliteto (EC3). Ta ukrep bo vplival na takojšnje delovanje kriminalcev, vendar pričakujemo, da bodo skušali svoja prizadevanja obnoviti. Naš ukrep torej ni enkraten. Microsoft, Fortra in Health-ISAC ter naši partnerji bodo s stalnimi pravnimi in tehničnimi ukrepi še naprej spremljali in ukrepali, da bi preprečili nadaljnje kriminalne operacije, vključno z uporabo razbitih kopij orodja Cobalt Strike.

Podjetje Fortra namenja veliko računalniških in človeških virov za boj proti nezakoniti uporabi svoje programske opreme in razbitih kopij orodja Cobalt Strike ter strankam pomaga ugotoviti, ali so bile njihove licence za programsko opremo ogrožene. Zakonite varnostne strokovnjake, ki kupijo licence orodja Cobalt Strike, preveri družba Fortra, pri čemer morajo upoštevati omejitve uporabe in nadzor izvoza. Podjetje Fortra aktivno sodeluje z družbenimi mediji in spletnimi mesti za izmenjavo datotek ter odstranjuje razbite kopije programa Cobalt Strike, ko se pojavijo na teh spletnih straneh. Ker so kriminalci prilagodili svoje tehnike, je podjetje Fortra prilagodila varnostne kontrole v orodju Cobalt Strike, da bi odpravila metode, ki so se uporabljale za razbijanje starejših različic orodja Cobalt Strike.

Microsoftov oddelek DCU si bo tako kot od leta 2008 še naprej prizadeval za zaustavitev širjenja zlonamerne programske opreme s civilnimi tožbami za zaščito strank v številnih državah po svetu, kjer veljajo ti zakoni. Prav tako bomo še naprej sodelovali s ponudniki internetnih storitev in skupinami CERT pri odkrivanju in odpravljanju težav žrtev.

Sorodni članki

Trije načini zaščite pred izsiljevalsko programsko opremo

Sodobna obramba pred izsiljevalsko programsko opremo zahteva veliko več kot le vzpostavitev ukrepov za odkrivanje. Spoznajte tri najpomembnejše načine, kako lahko še danes okrepite varnost svojega omrežja pred izsiljevalsko programsko opremo.
Več informacij

Izsiljevalska programska oprema kot storitev: Nov obraz panožnega kibernetskega kriminala

Najnovejši poslovni model na področju kibernetskega kriminala – napadi, ki jih upravlja človek – privablja napadalce z različnimi sposobnostmi.
Več informacij

V zakulisju z Nickom Carrom, strokovnjakom na področju kibernetskega kriminala in boja proti izsiljevalski programski opremi

Nick Carr, vodja ekipe za obveščanje o kibernetskem kriminalu v središču za obveščanje o grožnjah Microsoft, spregovori o trendih izsiljevalske programske opreme, pojasni kako Microsoft ščiti stranke pred izsiljevalsko programsko opremo ter opisuje, kaj lahko organizacije storijo, če postanejo tarča takšnega napada.
Več informacij

Spremljajte Microsoft