La Unidad de Delitos Digitales (DCU) de Microsoft, la empresa de software de ciberseguridad Fortra™ y el Centro de Análisis e Intercambio de Información Sanitaria (Health-ISAC) están tomando medidas técnicas y legales para desbaratar copias crackeadas y heredadas de Cobalt Strike y software de Microsoft manipulado, que han sido utilizadas por ciberdelincuentes para distribuir malware, incluido ransomware.
Cobalt Strike es una herramienta de post-explotación legítima y popular utilizada para la simulación de adversarios proporcionada por Fortra. En ocasiones, los delincuentes han abusado de versiones anteriores del software y las han alterado. Estas copias ilegales se denominan «crackeadas» y se han utilizado para lanzar ataques destructivos. Se abusa de los kits de desarrollo de software y las API de Microsoft como parte de la codificación del malware, así como de la infraestructura de distribución de malware delictivo para atacar y engañar a las víctimas.
Las familias de ransomware asociadas o desplegadas por copias crackeadas de Cobalt Strike han sido vinculadas a más de 68 ataques de ransomware que afectaron organizaciones sanitarias en más de 19 países de todo el mundo.
Estos ataques han costado a los sistemas hospitalarios millones de dólares en costes de recuperación y reparación, además de interrupciones en servicios críticos de atención al paciente, como retrasos en los resultados de diagnósticos, imágenes y laboratorio, cancelación de procedimientos médicos y demoras en la administración de tratamientos de quimioterapia, por nombrar algunos.
Componentes y estrategia de interrupción
El 31 de marzo de 2023, el Tribunal de Distrito de EE.UU. para el Distrito Este de Nueva York emitió una orden judicial que permite a Microsoft, Fortra y Health-ISAC interrumpir la infraestructura maliciosa utilizada por los delincuentes para facilitar sus ataques.
Permitiendo notificar a los proveedores de servicios de Internet (ISP) pertinentes y a los equipos de preparación para emergencias informáticas (CERT), que ayudan a desconectar la infraestructura, cortando efectivamente la conexión entre los operadores delictivos y los ordenadores de las víctimas.
Los esfuerzos de investigación de Fortra y Microsoft incluyeron la detección, el análisis, la telemetría y la ingeniería inversa, con datos y perspectivas adicionales para fortalecer su caso legal a partir de una red global de socios, incluidos Health-ISAC, el equipo de inteligencia cibernética de Fortra y los datos y perspectivas del equipo de inteligencia sobre amenazas de Microsoft.
Abuso por parte de ciberdelicuentes
Fortra ha tomado medidas considerables para evitar el uso indebido de su software, incluidas estrictas prácticas de investigación de clientes. Sin embargo, se sabe que los delincuentes roban versiones antiguas del software de seguridad, incluido Cobalt Strike, y crean copias crackeadas para acceder por la puerta trasera a las máquinas y desplegar malware.
Se han observado a operadores de ransomware que utilizan copias craqueadas de Cobalt Strike y software de Microsoft maltratado para desplegar Conti, LockBit y otros ransomware como parte del modelo de negocio del ransomware como servicio.
Los actores de la amenaza utilizan copias crackeadas de software para acelerar su despliegue de ransomware en redes comprometidas. Su flujo de ataque incluye spear phishing y correos spam maliciosos para obtener el acceso inicial.
Continuación de la lucha contra las amenazas
Microsoft, Fortra y Health-ISAC no cejan en su empeño de mejorar la seguridad del ecosistema, y están colaborando con la División Cibernética del FBI, la National Cyber Investigative Joint Task Force (NCIJTF) y el Centro Europeo de Ciberdelincuencia (EC3) de Europol en este caso.
Aunque esta acción afectará a las operaciones inmediatas de los delincuentes, se prevé que intentarán reanudar sus actividades. Por lo tanto, a través de acciones legales y técnicas continuas, Microsoft, Fortra y Health-ISAC, junto con sus socios, seguirán vigilando y tomando medidas para desbaratar nuevas operaciones delictivas.
Fuente:
Previniendo que los ciberdelicuentes abusen de las herramientas de seguridad