Подразделение Microsoft по цифровым преступлениям (DCU), компания-разработчик программного обеспечения для кибербезопасности Fortra™ и Центр обмена и анализа медицинской информации (Health-ISAC) предпринимают технические и юридические действия для уничтожения взломанных, устаревших копий Cobalt Strike и злоупотребляемого программного обеспечения Microsoft, которые использовались злоумышленниками. киберпреступников для распространения вредоносных программ, в том числе программ-вымогателей. Это изменение в том, как DCU работал в прошлом — объем больше, а операция более сложная. Вместо того, чтобы нарушать командование и контроль над семейством вредоносных программ, на этот раз мы работаем с Fortra над удалением незаконных устаревших копий Cobalt Strike, чтобы они больше не могли использоваться киберпреступниками.
Нам нужно быть настойчивыми, пока мы работаем над удалением взломанных устаревших копий Cobalt Strike, размещенных по всему миру. Это важное действие Fortra для защиты законного использования ее инструментов безопасности. Microsoft также стремится к законному использованию своих продуктов и услуг. Мы также считаем, что решение Fortra сотрудничать с нами в этой акции является признанием работы DCU по борьбе с киберпреступностью за последнее десятилетие. Вместе мы стремимся бороться с незаконными методами распространения, используемыми киберпреступниками.
Cobalt Strike — это законный и популярный инструмент постэксплуатации, используемый Fortra для имитации действий злоумышленников. Иногда преступники злоупотребляли и изменяли старые версии программного обеспечения. Эти незаконные копии называются «взломанными» и использовались для проведения деструктивных атак, например, против правительства Коста-Рики и Управления здравоохранения Ирландии. Наборы для разработки программного обеспечения Microsoft и API-интерфейсы используются как часть кодирования вредоносного ПО, а также криминальная инфраструктура распространения вредоносного ПО для нацеливания и введения в заблуждение жертв.
Семейства программ-вымогателей, связанные со взломанными копиями Cobalt Strike или развернутые ими, были связаны с более чем 68 атаками программ-вымогателей, затронувшими организации здравоохранения в более чем 19 странах мира. Эти атаки стоили больничным системам миллионы долларов затрат на восстановление и ремонт, а также перерывы в оказании критически важных услуг по уходу за пациентами, включая задержку результатов диагностики, визуализации и лабораторных исследований, отмену медицинских процедур и задержки в проведении химиотерапии, и это лишь некоторые из них.
Компоненты и стратегия разрушения
31 марта 2023 года Окружной суд США Восточного округа Нью-Йорка издал постановление суда, позволяющее Microsoft, Fortra и Health-ISAC разрушать вредоносную инфраструктуру, используемую преступниками для облегчения своих атак. Это позволяет нам уведомлять соответствующих интернет-провайдеров (ISP) и группы компьютерной готовности к чрезвычайным ситуациям (CERT), которые помогают отключить инфраструктуру, эффективно разрывая связь между преступными операторами и зараженными компьютерами жертв.
Усилия Fortra и Microsoft по расследованию включали обнаружение, анализ, телеметрию и обратный инжиниринг с дополнительными данными и идеями для усиления нашего судебного дела от глобальной сети партнеров, включая данные Health-ISAC, группы киберразведки Fortra и данных группы Microsoft Threat Intelligence. и идеи. Наши действия направлены исключительно на уничтожение взломанных, устаревших копий Cobalt Strike и скомпрометированного программного обеспечения Microsoft.
Microsoft также расширяет законный метод, который успешно используется для нарушения деятельности вредоносных программ и национальных государств, чтобы бороться со злоупотреблением инструментами безопасности, используемыми широким спектром киберпреступников. Нарушение работы взломанных устаревших копий Cobalt Strike значительно затруднит монетизацию этих нелегальных копий и замедлит их использование в кибератаках, что заставит преступников пересмотреть и изменить свою тактику. Сегодняшние действия также включают иски об авторских правах в отношении злонамеренного использования программного кода Microsoft и Fortra, которые были изменены и использованы для причинения вреда.
Злоупотребление киберпреступниками
Компания Fortra предприняла значительные шаги для предотвращения неправомерного использования своего программного обеспечения, включая строгую проверку клиентов. Однако известно, что преступники крадут старые версии программного обеспечения для обеспечения безопасности, в том числе Cobalt Strike, создавая взломанные копии, чтобы получить бэкдор-доступ к компьютерам и развернуть вредоносное ПО. Мы наблюдали, как операторы программ-вымогателей использовали взломанные копии Cobalt Strike и злоупотребляли программным обеспечением Microsoft для развертывания Conti, LockBit и других программ-вымогателей в рамках бизнес-модели программ-вымогателей как услуги.
Злоумышленники используют взломанные копии программного обеспечения, чтобы ускорить развертывание программ-вымогателей в скомпрометированных сетях. На приведенной ниже диаграмме показан процесс атаки с выделением способствующих факторов, включая целевой фишинг и вредоносные спам-сообщения для получения первоначального доступа, а также злоупотребление кодом, украденным у таких компаний, как Microsoft и Fortra.
Хотя точные личности тех, кто проводит преступные операции, в настоящее время неизвестны, мы обнаружили вредоносную инфраструктуру по всему миру, в том числе в Китае, США и России. Помимо финансово мотивированных киберпреступников, мы наблюдали злоумышленников, действующих в интересах иностранных правительств, в том числе из России, Китая, Вьетнама и Ирана, использующих взломанные копии.
Продолжение борьбы с злоумышленниками
Microsoft, Fortra и Health-ISAC продолжают прилагать неустанные усилия по повышению безопасности экосистемы, и мы сотрудничаем с киберподразделением ФБР, Национальной объединенной целевой группой по расследованию киберугроз (NCIJTF) и Европейским центром киберпреступности Европола (EC3) по этому делу. . Хотя это действие повлияет на непосредственные действия преступников, мы полностью ожидаем, что они попытаются возродить свои усилия. Поэтому наше действие не одно и не сделано. В рамках продолжающихся юридических и технических действий Microsoft, Fortra и Health-ISAC вместе с нашими партнерами будут продолжать отслеживать и принимать меры для пресечения дальнейших преступных операций, включая использование взломанных копий Cobalt Strike.
Fortra выделяет значительные вычислительные и человеческие ресурсы для борьбы с незаконным использованием своего программного обеспечения и взломанных копий Cobalt Strike, помогая клиентам определить, были ли их лицензии на программное обеспечение скомпрометированы. Законные специалисты по безопасности, приобретающие лицензии Cobalt Strike, проверяются Fortra и обязаны соблюдать ограничения на использование и экспортный контроль. Fortra активно работает с социальными сетями и сайтами обмена файлами, чтобы удалить взломанные копии Cobalt Strike, когда они появляются на этих веб-ресурсах. Поскольку преступники адаптировали свои методы, Fortra адаптировала элементы управления безопасностью в программном обеспечении Cobalt Strike, чтобы исключить методы, используемые для взлома старых версий Cobalt Strike.
Как и с 2008 года, DCU Microsoft продолжит свои усилия по прекращению распространения вредоносных программ, подав гражданские иски для защиты клиентов в большом количестве стран по всему миру, где действуют эти законы. Мы также продолжим работать с интернет-провайдерами и центрами CERT для выявления и исправления жертв.
