Microsoft irá bloquear Cobalt Strike ilegal junto a Fortra

Microsoft irá bloquear Cobalt Strike ilegal junto a Fortra

A Microsoft disse que se uniu ao Fortra e ao Health Information Sharing and Analysis Center (Health-ISAC) para combater o abuso do Cobalt Strike por cibercriminosos para distribuir malware, incluindo ransomware.

Para esse fim, a Unidade de Crimes Digitais (DCU) da gigante da tecnologia revelou que obteve uma ordem judicial nos EUA para “remover cópias legadas ilegais do Cobalt Strike para que não possam mais ser usadas por cibercriminosos”.

Embora o Cobalt Strike, desenvolvido e mantido pela Fortra (anteriormente HelpSystems), seja uma ferramenta legítima de pós-exploração usada para simulação de adversários, versões ilegais do software foram transformadas em armas por agentes de ameaças ao longo dos anos.

Os grupos de ransomware, em particular, aproveitaram o Cobalt Strike após obter acesso inicial a um ambiente de destino para escalar privilégios, mover-se lateralmente pela rede e implantar malware de criptografia de arquivos.

“As famílias de ransomware associadas ou implantadas por cópias quebradas do Cobalt Strike foram vinculadas a mais de 68 ataques de ransomware que afetam organizações de saúde em mais de 19 países ao redor do mundo”, disse Amy Hogan-Burney, gerente geral da DCU.

Ao interromper o uso de cópias legadas do Cobalt Strike e software comprometido da Microsoft, o objetivo é impedir os ataques e forçar os adversários a repensar suas táticas, acrescentou a empresa.

Redmond observou ainda o uso indevido do Cobalt Strike por grupos de estado-nação cujas operações se alinham com as da Rússia, China, Vietnã e Irã, acrescentando que detectou infraestrutura maliciosa hospedando o Cobalt Strike em todo o mundo, incluindo China, EUA e Rússia.

A repressão legal ocorre meses depois que o Google Cloud identificou 34 diferentes versões de lançamento hackeadas da ferramenta Cobalt Strike em uma tentativa de “tornar mais difícil para os bandidos abusarem”.

Fonte: thehacknews