Microsoft, Fortra et le Health Information Sharing and Analysis Center (Health-ISAC) ont annoncé une vaste répression juridique contre les serveurs hébergeant des copies piratées de Cobalt Strike, l’un des principaux outils de piratage utilisés par les cybercriminels.
« Nous devrons faire preuve de persévérance alors que nous nous efforçons de supprimer les anciennes copies fissurées de Cobalt Strike hébergées dans le monde entier », a déclaré Amy Hogan-Burney, responsable de la Digital Crimes Unit (DCU) de Microsoft.
« Il s’agit d’une action importante de Fortra pour protéger l’utilisation légitime de ses outils de sécurité. Microsoft s’engage également à l’utilisation légitime de ses produits et services. »
Vendredi 31 mars dernier, le tribunal de district américain du district oriental de New York a rendu une ordonnance du tribunal autorisant Microsoft et Fortra (le fabricant de Cobalt Strike) à saisir les noms de domaine et à supprimer les adresses IP des serveurs hébergeant des versions piratées de Cobalt. Grève (plainte Microsoft et ordonnance du tribunal).
Cela se produira avec l’aide des équipes de préparation aux urgences informatiques (CERT) et des fournisseurs de services Internet (FAI) concernés, dans le but final de mettre l’infrastructure malveillante hors ligne.
Les démantèlements liés à cette action ont déjà commencé plus tôt cette semaine, mardi, et l’ordonnance du tribunal permet également à la coalition de perturber la nouvelle infrastructure que les acteurs de la menace utiliseront lors de futures attaques.
« La perturbation des anciennes copies fissurées de Cobalt Strike entravera considérablement la monétisation de ces copies illégales et ralentira leur utilisation dans les cyberattaques, obligeant les criminels à réévaluer et à changer leurs tactiques », a déclaré Hogan-Burney.
« L’action d’aujourd’hui comprend également des réclamations de droits d’auteur contre l’utilisation malveillante du code logiciel de Microsoft et Fortra qui est modifié et abusé pour nuire. »
Utilisé par les gangs de rançongiciels et les pirates d’État
Fortra, anciennement connu sous le nom de Help Systems, a lancé Cobalt Strike il y a plus de dix ans, en 2012, en tant qu’outil de test de pénétration commercial légitime permettant aux équipes rouges d’analyser l’infrastructure organisationnelle à la recherche de vulnérabilités.
Bien que le développeur sélectionne soigneusement les clients et n’accorde que des licences pour une utilisation légale, des acteurs malveillants ont obtenu et distribué des copies piratées du logiciel au fil du temps, faisant de Cobalt Strike l’un des outils les plus largement utilisés dans les cyberattaques impliquant le vol de données et les rançongiciels.
Les acteurs de la menace l’utilisent pour les tâches de post-exploitation après avoir déployé des balises conçues pour leur fournir un accès à distance persistant aux appareils compromis afin de récolter des données sensibles ou de déposer des charges utiles malveillantes supplémentaires.
Microsoft a détecté une infrastructure malveillante hébergeant Cobalt Strike dans le monde entier, notamment en Chine, aux États-Unis et en Russie, bien que l’identité des personnes à l’origine des opérations criminelles reste inconnue.
La société a également observé plusieurs acteurs de la menace soutenus par l’État et des groupes de piratage utilisant des versions craquées de Cobalt Strike tout en agissant au nom de gouvernements étrangers, notamment la Russie, la Chine, le Vietnam et l’Iran.
« Les familles de ransomwares associées ou déployées par des copies piratées de Cobalt Strike ont été liées à plus de 68 attaques de ransomwares affectant des organisations de santé dans plus de 19 pays à travers le monde », a déclaré Hogan-Burney.
« Ces attaques ont coûté aux systèmes hospitaliers des millions de dollars en coûts de récupération et de réparation, ainsi que des interruptions des services de soins critiques aux patients, notamment des retards de diagnostic, d’imagerie et de résultats de laboratoire, des procédures médicales annulées et des retards dans la livraison des traitements de chimiothérapie, pour n’en nommer que quelques-uns. »
En novembre 2022, l’équipe Google Cloud Threat Intelligence a également ouvert 165 règles YARA et un ensemble d’indicateurs de compromission (IOC) pour aider les défenseurs du réseau à détecter les composants Cobalt Strike dans leurs réseaux.