Trace Id is missing

Kyberrikollisten tietoturvatyökalujen väärinkäytön estäminen

Joukko kuvakkeita oranssilla taustalla.

Microsoftin Digital Crimes Unit (DCU), kyberturvallisuusohjelmistoyritys Fortra™ ja Health Information Sharing and Analysis Center (Health-ISAC) ryhtyvät teknisiin ja oikeudellisiin toimiin lopettaakseen Cobalt Striken murrettuja, vanhoja kopioita ja väärinkäytettyjä Microsoft-ohjelmistoja, joita kyberrikolliset ovat käyttäneet haittaohjelmien (mukaan lukien kiristysohjelmien) levittämiseen. Tämä on muutos DCU:n aiempaan työskentelytapaan – toiminta on laajempaa ja monimutkaisempaa. Sen sijaan, että häiritsisimme haittaohjelmaperheen komentoa ja hallintaa, työskentelemme tällä kertaa Fortran kanssa poistaaksemme Cobalt Striken laittomat, vanhat kopiot, jotta kyberrikolliset eivät voi enää käyttää niitä.

Meidän on oltava sinnikkäitä, kun pyrimme tuhoamaan Cobalt Striken murretut, vanhat kopiot, joita on ympäri maailmaa. Tämä on Fortralta tärkeä toimenpide sen tietoturvatyökalujen laillisen käytön suojaamiseksi. Microsoft on samalla tavoin sitoutunut tuotteidensa ja palvelujensa lailliseen käyttöön. Uskomme myös, että Fortran valinta yhteistyökumppaniksemme tässä toimessa on tunnustus DCU:n työstä tietoverkkorikosten torjunnassa viime vuosikymmenen aikana. Olemme yhdessä sitoutuneet jahtaamaan kyberrikollisten laittomia jakelumenetelmiä.

Cobalt Strike on Fortran tarjoama laillinen ja suosittu hyökkäyksen jälkeinen työkalu, jota käytetään vastustajan simulointiin. Joskus rikolliset ovat väärinkäyttäneet ja muokanneet ohjelmiston vanhempia versioita. Näitä laittomia kopioita kutsutaan "murretuiksi", ja niitä on käytetty tuhoisten hyökkäysten tekemiseen esimerkiksi Costa Rican hallitusta ja Irlannin terveyspalveluvirastoa vastaan. Microsoftin ohjelmistokehityspaketteja ja API-rajapintoja käytetään väärin osana haittaohjelmien koodausta sekä rikollisen haittaohjelman jakeluinfrastruktuuria uhrien kohdentamiseksi ja harhaanjohtamiseksi.

Cobalt Striken murrettuihin kopioihin liittyvät tai niiden käyttämät kiristysohjelmaperheet on yhdistetty yli 68 kiristysohjelmahyökkäykseen, jotka kohdistuvat terveydenhuollon organisaatioihin yli 19 maassa eri puolilla maailmaa. Nämä hyökkäykset ovat maksaneet sairaalajärjestelmille miljoonia dollareita palautus- ja korjauskustannuksina, ja lisäksi ne ovat aiheuttaneet keskeytyksiä kriittisissä potilashoitopalveluissa, kuten viivästyneitä diagnostiikka-, kuvantamis- ja laboratoriotuloksia, peruuntuneita lääketieteellisiä toimenpiteitä ja sytostaattihoitojen viivästymisiä, vain muutamia mainitakseni.

Cobalt Striken murrettujen kopioiden maailmanlaajuinen jakelu
Microsoftin tiedot, joissa näkyy Cobalt Striken murrettujen kopioiden saastuttamien tietokoneiden maailmanlaajuinen leviäminen.

31. maaliskuuta 2023 New Yorkin itäisen piirikunnan käräjäoikeus antoi oikeuden määräyksen, jonka mukaan Microsoft, Fortra ja Health-ISAC voivat keskeyttää rikollisten hyökkäyksiä varten käyttämän haitallisen infrastruktuurin. Näin voimme ilmoittaa asiasta asianomaisille Internet-palveluntarjoajille ja CERT-ryhmille, jotka auttavat ottamaan infrastruktuurin pois käytöstä, jolloin yhteys rikollisten toimijoiden ja tartunnan saaneiden uhrien tietokoneiden välillä katkeaa.

Fortran ja Microsoftin tutkintatoimiin sisältyi havaitsemista, analysointia, telemetriaa ja takaisinmallinnusta, ja oikeustapauksemme vahvistamiseksi saatiin lisätietoja ja näkemyksiä maailmanlaajuisesta kumppaniverkostosta, kuten Health-ISAC:n, Fortra Cyber Intelligence -tiimin ja Microsoftin Threat Intelligence -tiimin tiedoista ja näkemyksistä. Toimintamme keskittyy yksinomaan Cobalt Striken murrettujen, vanhojen kopioiden ja Microsoft-ohjelmistojen vaarantamisen estämiseen.

Microsoft laajentaa myös laillista menetelmää, jota on käytetty menestyksekkäästi haittaohjelmien ja kansallisvaltioiden operaatioiden keskeyttämiseen, koskemaan tietoturvatyökalujen väärinkäyttöä monenlaisten kyberrikollisten toimesta. Cobalt Striken murrettujen vanhojen kopioiden poistaminen estää merkittävästi näiden laittomien kopioiden hyödyntämisen ja hidastaa niiden käyttöä kyberhyökkäyksissä, mikä pakottaa rikolliset arvioimaan uudelleen ja muuttamaan taktiikkaansa. Tähän nykyiseen kanteeseen sisältyy myös tekijänoikeuskanteita, jotka koskevat Microsoftin ja Fortran ohjelmistokoodin ilkivaltaista käyttöä, jota muutetaan ja käytetään väärin vahingoittamiseen.

Fortra on ryhtynyt huomattaviin toimiin estääkseen ohjelmistojensa väärinkäytön, mukaan lukien tiukat asiakastarkastuskäytännöt. Rikollisten tiedetään kuitenkin varastavan vanhempia versioita tietoturvaohjelmistoista (esim. Cobalt Strike), ja luovat murrettuja kopioita, joiden avulla he voivat päästä koneisiin takaoven kautta ja levittää haittaohjelmia. Olemme havainneet kiristysohjelmaoperaattoreiden käyttävän Cobalt Striken murrettuja kopioita ja väärinkäytettyjä Microsoft-ohjelmistoja Conti-, LockBit- ja muiden kiristysohjelmien käyttöönottoon osana kiristysohjelma palveluna -liiketoimintamallia.

Uhkaavat toimijat käyttävät murrettuja ohjelmistokopioita nopeuttaakseen kiristysohjelmien käyttöönottoa vaarantuneissa verkoissa. Alla olevassa kaaviossa esitetään hyökkäyksen kulku ja korostetaan siihen vaikuttavia tekijöitä, kuten kohdennettu verkkourkinta ja haitallisten roskapostiviestien lähettäminen alustavan pääsyn saamiseksi, sekä Microsoftin ja Fortran kaltaisilta yrityksiltä varastetun koodin väärinkäyttö.

Uhkaavan toimijan hyökkäyksen kulkukaavio
Esimerkki uhkaavan toimijan DEV-0243:n hyökkäysvirrasta.
Microsoft Digital Defense
Esittelyssä

Microsoftin digitaalisen suojauksen raportti 2023: Kyberresilienssin kehittäminen

Microsoftin digitaalisen suojauksen raportin uusimmassa versiossa tutustutaan kehittyvään uhkaympäristöön ja käydään läpi kyberresilienssin mahdollisuuksia ja haasteita.

Vaikka rikollisten operaatioiden toteuttajien tarkkaa henkilöllisyyttä ei tällä hetkellä tiedetä, olemme havainneet haitallista infrastruktuuria eri puolilla maailmaa, muun muassa Kiinassa, Yhdysvalloissa ja Venäjällä. Taloudellisista syistä toimivien kyberrikollisten lisäksi olemme havainneet uhkaavien toimijoiden toimivan ulkomaisten hallitusten (esim. Venäjän, Kiinan, Vietnamin ja Iranin) etujen mukaisesti ja käyttävän murrettuja kopioita.

Microsoft, Fortra ja Health-ISAC jatkavat sinnikkäästi pyrkimyksiään parantaa ekosysteemin turvallisuutta, ja tekevät tässä tapauksessa yhteistyötä FBI:n kyberosaston, NCIJTF:n ja Europolin EC3:n kanssa. Vaikka tämä toimenpide vaikuttaa rikollisten välittömiin operaatioihin, odotamme täysin, että he yrittävät elvyttää toimintansa. Toimintamme ei siis ole vain ainutkertainen. Jatkuvien oikeudellisten ja teknisten toimien avulla Microsoft, Fortra ja Health-ISAC yhdessä kumppaneidensa kanssa jatkaa seurantaa ja ryhtyy toimiin uusien rikollisten operaatioiden, kuten Cobalt Striken murrettujen kopioiden käytön, estämiseksi.

Fortra käyttää huomattavia laskenta- ja henkilöresursseja ohjelmistonsa laittoman käytön ja Cobalt Striken murrettujen kopioiden torjuntaan ja auttaa asiakkaita selvittämään, onko heidän ohjelmistolisenssinsä altistunut haittaohjelmalle. Fortra tarkastaa Cobalt Strike -lisenssejä ostavat lailliset turvallisuusalan ammattilaiset, ja heidän on noudatettava käyttörajoituksia ja vientivalvontaa. Fortra työskentelee aktiivisesti sosiaalisen median ja tiedostojenjakosivustojen kanssa poistaakseen Cobalt Striken murretut kopiot, kun ne ilmestyvät kyseisiin verkkoresursseihin. Koska rikolliset ovat mukauttaneet tekniikoitaan, Fortra on mukauttanut Cobalt Strike -ohjelmiston turvatoimia poistaakseen menetelmät, joita käytettiin Cobalt Striken vanhempien versioiden murtamiseen.

Kuten vuodesta 2008 lähtien, Microsoftin DCU jatkaa ponnistelujaan haittaohjelmien leviämisen pysäyttämiseksi nostamalla siviilioikeudellisia kanteita asiakkaiden suojelemiseksi monissa maissa eri puolilla maailmaa, joissa nämä lait ovat voimassa. Jatkamme myös yhteistyötä Internet-palveluntarjoajien ja CERT-ryhmien kanssa uhrien tunnistamiseksi ja heidän tilanteensa korjaamiseksi.

Aiheeseen liittyviä artikkeleita

Kolme tapaa suojautua kiristysohjelmilta

Moderni kiristysohjelmasuojaus vaatii muutakin, kuin havaitsemistoimien määrittämistä. Tutustu jo tänään kolmeen tapaan parantaa verkostosi suojausta kiristysohjelmia vastaan.

Kiristysohjelma palveluna: Teollistuneen kyberrikollisuuden uudet kasvot

Kyberrikollisuuden uusin liiketoimintamalli, ihmisten tekemät hyökkäykset, rohkaisee erilaisia kykyjä omaavia rikollisia.

Kulissien takana tietoverkkorikosten ja kiristysohjelmien torjunnan asiantuntija Nick Carrin kanssa

Nick Carr, Microsoft Threat Intelligence Center -keskuksen tietoverkkorikostietojen tiiminvetäjä, kertoo kiristysohjelmien trendeistä, selittää Microsoftin toimet asiakkaiden suojaamiseksi kiristysohjelmilta ja kuvailee organisaatioiden toimia tilanteessa, jossa niihin on kohdistunut hyökkäys.

Seuraa Microsoft Securitya