Trace Id is missing

Impedire ai criminali informatici di usare in modo improprio gli strumenti di sicurezza

Condividi
Set di icone su uno sfondo arancione.

La Digital Crimes Unit (DCU) di Microsoft, l'azienda software di cybersecurity Fortra™ e l'Health Information Sharing and Analysis Center (Health-ISAC) stanno intraprendendo azioni legali e tecniche per fermare le copie legacy craccate di Cobalt Strike e del software Microsoft usato in modo improprio, che sono stati usati dai criminali informatici per distribuire software dannoso, incluso il ransomware. Si tratta di un cambiamento nel modo di lavorare della DCU; l'ambito è più grande e l'operazione è più complessa. Invece di arrestare il comando e il controllo di una famiglia di software dannoso, questa volta, stiamo lavorando con Fortra per rimuovere copie illegali legacy di Cobalt Strike affinché non vengano più usate dai criminali informatici.

Dovremo essere tenaci poiché dobbiamo rimuovere copie legacy craccate di Cobalt Strike ospitate in tutto il mondo. Si tratta di un'azione importante di Fortra per proteggere l'uso legittimo dei suoi strumenti di sicurezza. Anche Microsoft è ugualmente impegnata a proteggere l'uso legittimo dei suoi prodotti e servizi. Crediamo che la scelta di Fortra di collaborare con noi per questa operazione sia il riconoscimento del lavoro di lotta al crimine informatico della DCU negli ultimi dieci anni. Insieme, ci impegniamo a seguire i metodi di distribuzione illegali dei criminali informatici.

Cobalt Strike è un noto strumento di post-exploitation legittimo, usato per la simulazione di un'aggressione informatica fornito da Fortra. A volte, le versioni meno recenti del software sono state usate in modo improprio e alterate dai criminali. Queste copie illegali vengono definite "craccate" e sono state usate per lanciare attacchi distruttivi, come quelli contro il Governo del Costa Rica e l' Health Service Executive irlandese. Gli SDK Microsoft e le API vengono usati in modo improprio nell'ambito della programmazione del software dannoso e della relativa infrastruttura di distribuzione da parte dei criminali per colpire e ingannare le vittime.

Le famiglie di ransomware associate o distribuite dalle copie craccate di Cobalt Strike sono state collegate a più di 68 attacchi ransomware che hanno colpito aziende sanitarie in oltre 19 paesi in tutto il mondo. Questi attacchi sono costate ai sistemi ospedalieri milioni di dollari in ripristino e riparazione, oltre alle interruzioni nei servizi di assistenza critici per i pazienti tra cui risultati di diagnostica, esami di laboratorio e radiografici ritardati, procedure mediche annullate e ritardi nell'erogazione delle terapia chemioterapiche, solo per citarne alcuni.

Distribuzione globale delle copie craccate di Cobalt Strike
Dati di Microsoft che mostrano la diffusione globale dei computer infettati dalle copie craccate di Cobalt Strike.

Il 31 marzo 2023, la Corte distrettuale degli Stati Uniti per il Distretto orientale di New York ha emesso un ordine del tribunale consentendo a Microsoft, Fortra ed Health-ISAC di arrestare l'infrastruttura dannosa usata dai criminali per agevolare i propri attacchi. Questo ci ha consentito di informare gli ISP pertinenti e i team addetti alle emergenze informatiche (CERT) che supportano la disattivazione dell'infrastruttura, danneggiando in modo efficace la connessione tra operatori criminali e computer delle vittime infetti.

Il lavoro investigativo di Fortra e Microsoft ha incluso il rilevamento, l'analisi, la telemetria e il reverse engineering, con ulteriori dati e informazioni dettagliate per rafforzare il nostro caso legale di una rete di partner, tra cui i dati e le informazioni di Health-ISAC, del team di intelligence informatica di Fortra e del team di Microsoft Threat Intelligence. La nostra azione si concentra solo sull'interruzione di copie legacy craccate di Cobalt Strike e di software Microsoft compromesso.

Microsoft sta inoltre espandendo un metodo legale usato correttamente per interrompere le operazioni malware e degli stati nazione per colpire l'uso improprio degli strumenti di sicurezza usati da un ampio spettro di criminali informatici. Interrompere le copie legacy craccate di Cobalt Strike danneggerà in modo significativo la monetizzazione di queste copie illegali e ne rallenterà l'uso nei cyberattacchi, obbligando i criminali a rivalutare e cambiare le proprie tattiche. L'azione di oggi include anche denunce relative a violazioni del copyright contro l'uso dannoso di codice software di Microsoft e Fortra alterato e usato in modo improprio per arrecare un danno.

Fortra ha intrapreso misure considerevoli per impedire l'uso improprio del proprio software, tra cui pratiche di controllo dei clienti stringenti. Tuttavia, i criminali sono noti per rubare versioni obsolete dei software di sicurezza, tra cui Cobalt Strike, creando copie craccate per ottenere l'accesso backdoor alle macchine e distribuire software dannoso. Abbiamo osservato gli operatori ransomware che usano le copie craccate di Cobalt Strike e il software Microsoft improprio per distribuire Conti, LockBit e altri ransomware nell'ambito del proprio modello operativo di ransomware-as-a-service.

Gli attori delle minacce usano le copie craccate del software per velocizzare la distribuzione del ransomware sulle reti compromesse. Il diagramma che segue mostra il flusso di un attacco, evidenziando i fattori che hanno contribuito, tra cui lo spear phishing e le e-mail indesiderate dannose per ottenere l'accesso iniziale, oltre all'uso improprio di codice rubato da aziende come Microsoft e Fortra.

Diagramma di flusso dell'attacco dell'attore di minacce
Esempio di un flusso di attacco da parte dell'attore di minacce DEV-0243.
Microsoft Digital Defense
In primo piano

Report sulla difesa digitale Microsoft 2023: creazione di una resilienza informatica

L'ultima edizione del Report sulla difesa digitale Microsoft esplora il panorama delle minacce in evoluzione e analizza le opportunità e le sfide con l'implementazione della resilienza informatica.
Scopri di più

Anche se le esatte identità di coloro che conducono operazioni criminali sono al momento sconosciute, abbiamo rilevato l'infrastruttura dannosa nel mondo, tra cui Cina, Stati Uniti e Russia. Oltre ai criminali informatici con obiettivi finanziari, abbiamo osservato attori delle minacce che agiscono nell'interesse di governi stranieri, tra cui Russia, Cina, Vietnam e Iran, usando le copie craccate.

Gli sforzi di Microsoft, Fortra ed Health-ISAC per migliorare la sicurezza dell'ecosistema sono inarrestabili e stiamo collaborando con la National Cyber Investigative Joint Task Force (NCIJTF) della divisione informatica dell'FBI e con l'European Cybercrime Centre (EC3) dell'Europol a questo caso. Anche se questa azione avrà un impatto sulle operazioni immediate dei criminali, sappiamo che proveranno a far rivivere il proprio lavoro. La nostra azione non può quindi concludersi qui. Attraverso azioni tecniche e legali continue, Microsoft, Fortra ed Health-ISAC, insieme ai loro partner, continueranno a monitorare e ad agire per interrompere ulteriori operazioni criminali, tra cui l'uso di copie craccate di Cobalt Strike.

Fortra dedica diverse risorse umane e informatiche alla lotta all'uso illegale dei suoi software e delle copie craccate di Cobalt Strike, aiutando i clienti a determinare se le proprie licenze software sono state compromesse. I professionisti della sicurezza legittimi che acquistano licenze di Cobalt Strike vengono controllati da Fortra e sono soggetti a limitazioni di utilizzo e controlli di esportazione. Fortra lavora attivamente con i social media e i siti di condivisione di file per rimuovere le copie craccate di Cobal Strike quando appaiono su queste proprietà Web. Poiché i criminali hanno adattato le proprie tecniche, Fortra ha adattato i controlli di sicurezza nel software Cobalt Strike per eliminare i metodi usati per craccare le versioni obsolete di Cobalt Strike.

Come fa ormai dal 2008, la DCU di Microsoft continuerà i suoi sforzi per fermare la diffusione di software dannoso avviando controversie legali per proteggere i clienti nel gran numero di paesi in tutto il mondo in cui esistono apposite leggi. Continueremo inoltre a lavorare con gli ISP e i CERT per identificare e risolvere gli attacchi alle vittime.

Articoli correlati

Tre modi per proteggerti dal ransomware

La difesa da ransomware moderni richiede molto più di semplici misure di rilevamento. Scopri i tre modi principali in cui rafforzare la protezione della rete dai ransomware oggi.
Scopri di più

Ransomware as a Service: il nuovo volto del crimine informatico industrializzato

Il nuovo modello di business del crimine informatico, ovvero gli attacchi con intervento umano, incoraggia criminali con diverse competenze.
Scopri di più

Dietro le quinte con l'esperto di lotta a crimini informatici e ransomware Nick Carr

Nick Carr, Cybercrime Intelligence Team Lead presso il Microsoft Threat Intelligence Center, parla delle tendenze relative al ransomware, spiega cosa sta facendo Microsoft per proteggere i clienti dal ransomware e descrive cosa possono fare le organizzazioni se vengono colpite da questo tipo di attacco.
Scopri di più

Segui Microsoft Security