Игры закончились: Microsoft и Fortra объединились для борьбы с Cobalt Strike

Microsoft, Fortra и Центр обмена и анализа медицинской информации (Health-ISAC) объявили о широкомасштабном судебном преследовании серверов, на которых размещены взломанные копии Cobalt Strike, одного из основных инструментов киберпреступников.

Постановление суда от 31 марта позволяет Microsoft и Fortra (разработчик Cobalt Strike) конфисковать домены и удалить IP-адреса серверов, на которых размещены взломанные версии Cobalt Strike.

Действия будут происходить с помощью соответствующих групп реагирования на компьютерные чрезвычайные ситуации (CERT) и интернет провайдеров, с конечной целью отключить вредоносную инфраструктуру. Уничтожение инфраструктуры уже началось во вторник, и постановление суда также позволяет коалиции разрушать новую инфраструктуру, которую злоумышленники будут использовать в будущих атаках.

Серверы, на которых размещены взломанные версии Cobalt Strike

«Нарушение работы взломанных устаревших копий Cobalt Strike значительно затруднит монетизацию этих нелегальных копий и замедлит их использование в кибератаках, заставив преступников переоценить и изменить свою тактику», — утверждает Эми Хоган-Берни, глава отдела цифровых преступлений Microsoft (DCU).

По словам Хоган-Берни, в ходе операции также будут поданы иски о нарушении авторских прав в отношении злонамеренного использования программного кода Microsoft и Fortra, которые были изменены и использованы для причинения вреда.

Fortra (ранее известная как Help Systems) выпустила Cobalt Strike в 2012 году как легитимный коммерческий инструмент тестирования на проникновение для красных команд, предоставляя пентестерам возможность сканировать инфраструктуру на наличие уязвимостей.

Хотя разработчик тщательно проверяет клиентов и выдает лицензии только для законного использования, со временем злоумышленники получили и распространили взломанные копии Cobalt Strike, в результате чего Cobalt Strike стал одним из самых используемых инструментов в кибератаках, связанных с кражей данных и программами-вымогателями.

По данным Microsoft, вредоносная инфраструктура, на которой размещается Cobalt Strike, располагается по всему миру, в том числе в Китае, США и России, хотя личность тех, кто стоит за вредоносными кампаниями, остается неизвестной.

Хоган-Берни отмечает, что семейства программ-вымогателей, связанные со взломанными копиями Cobalt Strike, были связаны с более чем 68 атаками программ-вымогателей, затронувшими организации здравоохранения в более 19 странах мира. Атаки стоили больницам миллионы долларов затрат на восстановление и ремонт, а также перерывы в оказании критически важных услуг по уходу за пациентами, включая задержку результатов диагностики, отмену медицинских процедур и задержки в проведении химиотерапии, и это лишь некоторые из многочисленных последствий.