Trace Id is missing
ข้ามไปที่เนื้อหาหลัก
Security Insider

การหยุดยั้งอาชญากรไซเบอร์จากการใช้เครื่องมือรักษาความปลอดภัยในทางที่ผิด

ชุดไอคอนบนพื้นหลังสีส้ม

Digital Crimes Unit (DCU) ของ Microsoft, บริษัทซอฟต์แวร์รักษาความปลอดภัยทางไซเบอร์ Fortra™ และศูนย์แบ่งปันและวิเคราะห์ข้อมูลสุขภาพ (Health-ISAC) กำลังดำเนินการทางเทคนิคและทางกฎหมายเพื่อขัดขวางสำเนาสำเนาดั้งเดิมของ Cobalt Strike ที่แคร็กและซอฟต์แวร์ Microsoft ที่ถูกละเมิด ซึ่งอาชญากรไซเบอร์นำมาใช้เพื่อกระจายมัลแวร์และแรนซัมแวร์ นี่คือการเปลี่ยนแปลงวิธีการทำงานของ DCU ในอดีต โดยมีขอบเขตกว้างขึ้นและการดำเนินการก็ซับซ้อนมากขึ้น แทนที่จะขัดขวางคำสั่งและการควบคุมของกลุ่มมัลแวร์ ในครั้งนี้ เราทำงานร่วมกับ Fortra เพื่อลบสำเนาดั้งเดิมที่ผิดกฎหมายของ Cobalt Strike เพื่อไม่ให้อาชญากรไซเบอร์สามารถใช้งานได้อีกต่อไป

เราจะต้องแน่วแน่ในการดำเนินงานของเราที่จะกำจัดสำเนาดั้งเดิมของ Cobalt Strike ที่แคร็กและโฮสต์ไว้ทั่วโลก นี่เป็นการดำเนินการที่สำคัญของ Fortra ในการปกป้องการใช้เครื่องมือรักษาความปลอดภัยอย่างถูกกฎหมาย และ Microsoft เองก็มีความมุ่งมั่นเช่นเดียวกันในการใช้ผลิตภัณฑ์และบริการของตนอย่างถูกต้องตามกฎหมาย นอกจากนี้ เรายังเชื่อว่าการที่ Fortra เลือกที่จะร่วมมือกับเราในการดำเนินการนี้ถือเป็นการยอมรับผลงานของ DCU ในการต่อสู้กับอาชญากรรมไซเบอร์ในช่วงทศวรรษที่ผ่านมา เรามุ่งมั่นที่จะร่วมกันไล่ล่าวิธีการเผยแพร่ที่ผิดกฎหมายของอาชญากรไซเบอร์

Cobalt Strike เป็นเครื่องมือหลังการแสวงหาประโยชน์ที่ถูกกฎหมายซึ่งได้รับความนิยมอย่างมากสำหรับจำลองฝ่ายปรปักษ์ที่ Fortra จัดหาให้ บางครั้งซอฟต์แวร์เวอร์ชันเก่าอาจถูกนำไปใช้ในทางที่ผิดและถูกปรับเปลี่ยนแก้ไขโดยอาชญากร สำเนาผิดกฎหมายเหล่านี้เรียกว่า “แคร็ก” และถูกนำมาใช้เพื่อโจมตีแบบทำลายล้างต่างๆ เช่น การโจมตีต่อ รัฐบาลคอสตาริกา และ คณะผู้บริหารบริการสุขภาพของไอร์แลนด์ ชุดพัฒนาซอฟต์แวร์และ API ของ Microsoft ถูกนำมาใช้ในทางที่ผิดเป็นส่วนหนึ่งของการเขียนโค้ดมัลแวร์ รวมถึงโครงสร้างพื้นฐานการกระจายมัลแวร์ทางอาญา เพื่อกำหนดเป้าหมายและทำให้เหยื่อเข้าใจผิด

กลุ่มแรนซัมแวร์ที่เกี่ยวข้องหรือนำมาใช้งานโดยสำเนา Cobalt Strike ที่แคร็กนั้นเชื่อมโยงกับการโจมตีแรนซัมแวร์มากกว่า 68 ครั้ง ซึ่งส่งผลกระทบต่อองค์กรด้านการดูแลสุขภาพในกว่า 19 ประเทศทั่วโลก การโจมตีเหล่านี้ทำให้ระบบโรงพยาบาลต้องเสียค่าใช้จ่ายหลายล้านดอลลาร์ในการกู้คืนและซ่อมแซม รวมถึงการหยุดชะงักของบริการดูแลผู้ป่วยที่สำคัญ ได้แก่ ผลการวินิจฉัย ผลการถ่ายภาพ และผลตรวจในห้องปฏิบัติการที่ล่าช้า การยกเลิกกระบวนการทางการแพทย์ และความล่าช้าในการให้ยาเคมีบำบัด และอื่นๆ อีกมากมาย

การแพร่กระจายทั่วโลกของสำเนา Cobalt Strike ที่แคร็ก
ข้อมูลของ Microsoft แสดงการแพร่กระจายทั่วโลกของคอมพิวเตอร์ที่ติดไวรัสสำเนา Cobalt Strike ที่แคร็ก

วันที่ 31 มีนาคม 2023 ศาลชั้นต้นสหรัฐฯ ประจำเขตตะวันออกของนิวยอร์กได้ออกคำสั่งศาลอนุญาตให้ Microsoft, Fortra และ Health-ISAC ขัดขวางโครงสร้างพื้นฐานอันตรายที่อาชญากรใช้เพื่ออำนวยความสะดวกในการโจมตี คำสั่งนี้ช่วยให้เราสามารถแจ้งผู้ให้บริการอินเทอร์เน็ต (ISP) ที่เกี่ยวข้องและทีมเตรียมความพร้อมกรณีฉุกเฉินทางคอมพิวเตอร์ (CERT) ซึ่งช่วยในการทำให้โครงสร้างพื้นฐานเป็นแบบออฟไลน์ และตัดการเชื่อมต่อระหว่างผู้ให้บริการอาชญากรกับคอมพิวเตอร์ของเหยื่อที่ติดไวรัสได้อย่างมีประสิทธิภาพ

การสืบสวนของ Fortra และ Microsoft ประกอบไปด้วยการตรวจหา การวิเคราะห์ การวัดและส่งข้อมูลทางไกล และวิศวกรรมย้อนกลับ พร้อมด้วยข้อมูลเพิ่มเติมและข้อมูลเชิงลึกต่างๆ เพื่อเสริมความแข็งแกร่งให้กับคดีทางกฎหมายของเราจากเครือข่ายพันธมิตรทั่วโลก รวมถึงข้อมูลและข้อมูลเชิงลึกจาก Health-ISAC, ทีมข่าวกรองภัยคุกคามไซเบอร์ของ Fortra และทีม Microsoft Threat Intelligence การดำเนินการของเรามุ่งเน้นไปที่การขัดขวางสำเนาดั้งเดิมของ Cobalt Strike ที่แคร็กและซอฟต์แวร์ Microsoft ที่ถูกโจมตีเท่านั้น

และ Microsoft ยังขยายวิธีการทางกฎหมายที่ใช้ขัดขวางการทำงานของมัลแวร์และการดำเนินการที่กำกับโดยรัฐได้สำเร็จ เพื่อพุ่งเป้าไปที่การใช้เครื่องมือรักษาความปลอดภัยในทางที่ผิดจากอาชญากรไซเบอร์ในวงกว้าง การขัดขวางสำเนาดั้งเดิมของ Cobalt Strike ที่แคร็กจะเป็นอุปสรรคอย่างมากต่อการสร้างรายได้จากสำเนาที่ผิดกฎหมายเหล่านี้ และทำให้การใช้งานในการโจมตีทางไซเบอร์ล่าช้าลง ส่งผลให้อาชญากรต้องประเมินและเปลี่ยนกลยุทธ์ใหม่ การดำเนินการในปัจจุบันนี้ยังรวมถึงการเรียกร้องลิขสิทธิ์ต่อการใช้โค้ดซอฟต์แวร์ของ Microsoft และ Fortra ในทางที่ผิดด้วย ซึ่งถูกนำไปปรับเปลี่ยนและนำไปใช้ในทางที่ผิดเพื่อสร้างความเสียหาย

Fortra ได้ดำเนินขั้นตอนสำคัญเพื่อป้องกันการใช้ซอฟต์แวร์ในทางที่ผิด รวมถึงแนวทางปฏิบัติในการตรวจสอบลูกค้าอย่างเข้มงวด แต่เป็นที่รู้กันดีว่าอาชญากรมมักจะโจมตีซอฟต์แวร์รักษาความปลอดภัยเวอร์ชันเก่า รวมถึง Cobalt Strike ด้วย ซึ่งจะสร้างสำเนาที่แคร็กเพื่อเข้าถึงเครื่องแบบแบ็คดอร์และปล่อยมัลแวร์ เราได้สังเกตผู้ดำเนินการแรนซัมแวร์ที่ใช้สำเนาของ Cobalt Strike ที่แคร็กและซอฟต์แวร์ Microsoft ในทางที่ผิด เพื่อปล่อย Conti, LockBit และแรนซัมแวร์อื่นๆ อันเป็นส่วนหนึ่งของแรนซัมแวร์ในรูปแบบบริการ

ผู้ดำเนินการภัยคุกคามใช้สำเนาซอฟต์แวร์ที่แคร็กเพื่อเร่งการติดตั้งแรนซัมแวร์บนเครือข่ายที่ถูกโจมตี แผนภาพด้านล่างแสดงขั้นตอนการโจมตี โดยเน้นไปที่ปัจจัยที่มีส่วนสนับสนุน รวมถึงสเปียร์ฟิชชิ่งและอีเมลสแปมอันตราย เพื่อให้ได้สิทธิ์เข้าถึงเบื้องต้น ตลอดจนการใช้โค้ดที่ขโมยมาจากบริษัทอย่าง Microsoft และ Fortra ในทางที่ผิด

แผนภาพขั้นตอนการโจมตีของผู้ดำเนินการภัยคุกคาม
ตัวอย่างขั้นตอนการโจมตีโดยผู้ดำเนินการภัยคุกคาม DEV-0243
Microsoft Digital Defense
แนะนำ

Microsoft Digital Defense Report ปี 2023: การสร้าง Cyber Resilience

Microsoft Digital Defense Report ฉบับล่าสุดสำรวจขอบเขตภัยคุกคามที่กำลังพัฒนา และแนะนำโอกาสและความท้าทายในขณะที่เรามีความยืดหยุ่นทางไซเบอร์

แม้ว่าปัจจุบันจะไม่ทราบตัวตนที่แท้จริงของผู้ที่ก่อเหตุอาชญากรรม แต่เราได้ตรวจพบโครงสร้างพื้นฐานอันตรายทั่วโลก รวมถึงในจีน สหรัฐอเมริกา และรัสเซีย นอกเหนือจากอาชญากรไซเบอร์ที่มีแรงจูงใจทางการเงินแล้ว เรายังสังเกตเห็นผู้ดำเนินการภัยคุกคามที่กระทำการเพื่อผลประโยชน์ของรัฐบาลต่างประเทศด้วย รวมถึงจากรัสเซีย จีน เวียดนาม และอิหร่าน โดยใช้สำเนาที่แคร็ก

Microsoft, Fortra และ Health-ISAC ยังคงไม่หยุดยั้งที่จะปรับปรุงการรักษาความปลอดภัยระบบนิเวศ และเรากำลังร่วมมือกับกองกำลังไซเบอร์ของ FBI, คณะทำงานเฉพาะกิจร่วมสืบสวนไซเบอร์แห่งชาติ (NCIJTF) และศูนย์อาชญากรรมไซเบอร์แห่งยุโรป (EC3) ของ Europol ในครั้งนี้ แม้ว่าการดำเนินการนี้จะส่งผลกระทบต่อปฏิบัติการแบบทันทีของเหล่าอาชญากรได้ แต่เราก็คาดการณ์ไว้ว่าอาชญากรจะกลับมาดำเนินการอีกครั้งแน่นอน การดำเนินการของเราจึงไม่ใช่แบบครั้งเดียวจบ Microsoft, Fortra และ Health-ISAC พร้อมด้วยคู่ค้าของเรา จะยังคงติดตามและดำเนินการเพื่อขัดขวางอาชญากรรมอื่นๆ รวมถึงการใช้สำเนา Cobalt Strike ที่แคร็กด้วย โดยการดำเนินการทางกฎหมายและทางเทคนิคอย่างต่อเนื่อง

Fortra ทุ่มเททรัพยากรคอมพิวเตอร์และทรัพยากรบุคคลจำนวนมากเพื่อต่อสู้กับการใช้ซอฟต์แวร์อย่างผิดกฎหมายและสำเนา Cobalt Strike ที่แคร็ก ซึ่งช่วยให้ลูกค้ารู้ได้ว่าสิทธิการใช้งานซอฟต์แวร์ของตนถูกโจมตีหรือไม่ ผู้ปฏิบัติงานด้านการรักษาความปลอดภัยที่ถูกกฎหมายซึ่งซื้อสิทธิการใช้งาน Cobalt Strike จะได้รับการตรวจสอบโดย Fortra และจะต้องปฏิบัติตามข้อจำกัดการใช้งานและการควบคุมการส่งออก Fortra ทำงานอย่างแข็งขันร่วมกับเว็บไซต์โซเชียลมีเดียและเว็บไซต์แชร์ไฟล์ต่างๆ เพื่อลบสำเนาของ Cobalt Strike ที่แคร็กหากมีปรากฏบนเว็บไซต์เหล่านั้น เนื่องจากเหล่าอาชญากรได้ปรับเปลี่ยนเทคนิคของตนไปบ้าง Fortra จึงปรับเปลี่ยนมาตรการควบคุมความปลอดภัยในซอฟต์แวร์ Cobalt Strike เพื่อกำจัดวิธีการที่ใช้ในการแคร็ก Cobalt Strike เวอร์ชันเก่า

DCU ของ Microsoft จะพยายามหยุดยั้งการแพร่กระจายของมัลแวร์ต่อไปดังเช่นที่เราเคยทำในปี 2008 โดยยื่นฟ้องร้องทางแพ่งเพื่อปกป้องลูกค้าในประเทศจำนวนมากทั่วโลกที่มีกฎหมายเหล่านี้บังคับใช้ และเราจะทำงานร่วมกับ ISP และ CERT ต่อไป เพื่อระบุและให้ความช่วยเหลือผู้ที่ตกเป็นเหยื่อ

บทความที่เกี่ยวข้อง

สามวิธีในการปกป้องตัวคุณเองจากแรนซัมแวร์

การป้องกันแรนซัมแวร์สมัยใหม่ต้องการมากกว่าแค่การตั้งค่ามาตรการตรวจหา ค้นพบสามวิธีแรกที่คุณสามารถเพิ่มความปลอดภัยให้กับเครือข่ายของคุณจากแรนซัมแวร์ได้ในปัจจุบัน

แรนซัมแวร์ในรูปการบริการ: โฉมหน้าใหม่ของอาชญากรรมไซเบอร์ทางอุตสาหกรรม

รูปแบบธุรกิจใหม่ล่าสุดของอาชญากรรมไซเบอร์ การโจมตีที่ดำเนินการโดยมนุษย์ กระตุ้นอาชญากรที่มีความสามารถหลากหลาย

เบื้องหลังกับผู้เชี่ยวชาญด้านอาชญากรรมไซเบอร์และการตอบโต้แรนซัมแวร์ Nick Carr

Nick Carr หัวหน้าทีมข่าวกรองอาชญากรรมไซเบอร์ที่ศูนย์ Microsoft Threat Intelligence พูดคุยเกี่ยวกับแนวโน้มของแรนซัมแวร์ และได้อธิบายว่า Microsoft กำลังทำอะไรเพื่อปกป้องลูกค้าจากแรนซัมแวร์ และอธิบายว่าองค์กรต่างๆ จะทำอะไรได้บ้างหากพวกเขาได้รับผลกระทบ

ติดตาม Microsoft Security