Trace Id is missing
Pereiti prie pagrindinio turinio
Security Insider

Kaip sustabdyti kibernetinių nusikaltėlių piktnaudžiavimą saugos įrankiais

Bendrinti
Piktogramos oranžiniame fone.

„Microsoft“ skaitmeninių nusikaltimų skyrius (DCU), kibernetinės saugos programinės įrangos įmonė „Fortra™“ bei Sveikatos informacijos bendrinimo ir analizės centras („Health-ISAC“) imasi techninių ir teisinių veiksnių, kad sutrikdytų „Cobalt Strike“ nulaužtas pasenusių versijų kopijas ir pažeistą „Microsoft“ programinę įrangą, kuri naudojama skleisti kenkėjiškoms programoms, tarp jų ir išpirkos reikalaujančias programas. DCU dabar veikia kitaip – didesne apimtimi, o operacija sudėtingesnė. Užuot sutrikdę kenkėjiškų programų šeimos valdymą ir kontrolę, šį kartą bendradarbiaujame su „Fortra“, siekdami pašalinti neteisėtas pasenusių „Cobalt Strike“ versijų kopijas, kad kibernetiniai nusikaltėliai daugiau jų nebegalėtų naudoti.

Siekdami pašalinti nulaužtas pasenusios „Cobalt Strike“ versijos kopijas, platinamas visame pasaulyje, turime nenuleisti rankų. Tai svarbus „Fortra“ žingsnis siekiant apsaugoti saugos įrankių teisėtą naudojimą. „Microsoft“ yra panašiai įsipareigojusi užtikrinti teisėtą produktų ir paslaugų naudojimą. Taip pat manome, kad „Fortra“ pasirinko mus kaip partnerį, nes per pastarąjį dešimtmetį pastebėjo DCU pastangas kovoti su kibernetiniu nusikalstamumu. Kartu esame pasiruošę sunaikinti kibernetinių nusikaltėlių neteisėtus platinimo metodus.

„Cobalt Strike“ – teisėtas ir populiarus „Fortra“ teikiamas įrankis priešininko simuliacijai po kenkėjiško panaudojimo. Kartais nusikaltėliai piktnaudžiauja ir modifikuoja senesnes šios programos versijas. Šios neteisėtos kopijos vadinamos „nulaužtomis“ ir yra naudojamos kenksmingiems puolimams, pvz., prieš  Kosta Rikos vyriausybę ir Airijos sveikatos ir saugos tarnybą. „Microsoft“ programinės įrangos kūrimo rinkiniais ir API piktnaudžiaujama programuojant kenkėjiškas programas, taip pat nusikalstamai jas platinant siekiant apgauti nukentėjusiuosius.

Nustatytas išpirkos reikalaujančių programų šeimų, susijusių su arba naudojamų „Cobalt Strike“ nulaužtose kopijose, ryšys su daugiau kaip 68 išpirkos reikalaujančių programų atakomis, turėjusiomis poveikį sveikatos priežiūros organizacijoms daugiau kaip 19-oje pasaulio šalių. Dėl šių atakų ligoninių sistemų atstatymas ir taisymas kainavo milijonus dolerių, o ką jau kalbėti apie būtinųjų pacientų priežiūros paslaugų trikdžius, įskaitant pavėluotas diagnozes, atvaizdavimo ir laboratorijų rezultatus, nutrauktas medicinines procedūras ir pavėluotą chemoterapiją – ir tai tik keletas pasekmių.

„Cobalt Strike“ nulaužtų kopijų visuotinis išplitimas
„Microsoft“ duomenys rodo „Cobalt Strike“ nulaužtų kopijų apkrėstų kompiuterių visuotinį išplitimą.

2023 m. kovo 31 d. JAV Niujorko rytinio rajono teismas išdavė teismo įsakymą, kuriuo „Microsoft“, „Fortra“ ir „Health-ISAC“ leidžiama sutrikdyti kenkėjišką infrastruktūrą, naudojamą nusikalstamoms atakoms. Tai leidžia mums siųsti pranešimus atitinkamiems interneto paslaugų teikėjams ir kompiuterių avarinio parengtumo komandoms, padedančioms išjungti infrastruktūrą, galiausiai nutraukiant ryšį tarp nusikaltėlių ir užkrėstų nukentėjusiųjų kompiuterių.

„Fortra“ ir „Microsoft“ tyrimas apėmė aptikimą, analizę, telemetriją ir atvirkštinę inžineriją, papildomus duomenis ir globalaus partnerių tinklo, įskaitant „Health-ISAC“, „Fortra Cyber Intelligence Team“ ir „Microsoft“ grėsmių žvalgybą, įžvalgas, stiprinančias mūsų teisinę bylą. Mūsų veiksmai orientuoti tik į nulaužtų pasenusių „Cobalt Strike“ versijų kopijų ir pažeistos „Microsoft“ programinės įrangos sutrikdymą.

„Microsoft“ taip pat ėmė taikyti teisinį metodą, skirtą sėkmingai sutrikdyti kenkėjiškas programas, bei ėmėsi valstybinių veiksmų, skirtų kovai su piktnaudžiavimu saugos įrankiais, kuriais naudojasi platus kibernetinių nusikaltėlių spektras. Nulaužtų pasenusių „Cobalt Strike“ versijų kopijų sutrikdymas užkirs kelią pelnymuisi iš šių neteisėtų kopijų ir sumažins jų naudojimą kibernetinėse atakose, o tai privers nusikaltėlius iš naujo persvarstyti ir keisti savo taktiką. Veiksmai, kurių imamasi šiandien, apima ir autorių teisių ieškinius dėl kenkėjiško „Microsoft“ ir „Fortra“ programinės įrangos kodo, kuris buvo pakeistas ir kuriuo piktnaudžiauta siekiant sukelti žalą, naudojimo.

„Fortra“ ėmėsi reikšmingų žingsnių, kad užkirstų kelią savo programinės įrangos kenkėjiškam naudojimui, įskaitant griežtą klientų patikros procedūrą. Tačiau žinoma, kad nusikaltėliai vagia senesnes apsauginės programinės įrangos versijas, įskaitant „Cobalt Strike“, ir sukuria nulaužtas kopijas, kad įgytų prieigą prie kompiuterių bei įdiegtų kenkėjiškas programas. Pastebėjome, kad išpirkos reikalaujančių programų naudotojai naudoja nulaužtas „Cobalt Strike“ versijas ir piktnaudžiauja „Microsoft“ programine įranga, kad įdiegtų „Conti“, „LockBit“ ir kitas išpirkos reikalaujančias programas ir sukurtų išpirkos reikalaujančių programų paslaugų verslo modelį.

Kibernetinių grėsmių naudotojai naudoja nulaužtas programinės įrangos kopijas, kad pagreitintų savo išpirkos reikalaujančių programų įdiegimą pažeistuose tinkluose. Toliau pateiktoje diagramoje matyti atakos eiga, pažymimi pagalbiniai veiksniai, įskaitant tikslinį sukčiavimą apsimetant ir kenkėjiškus nepageidaujamus el. laiškus siekiant įgyti prieigą, taip pat kenkėjišką iš tokių įmonių, kaip „Microsoft“ ir „Fortra“ pavogto kodo naudojimą.

Grėsmės sukėlėjo atakos eigos diagrama
Grėsmės sukėlėjo atakos eigos pavyzdys DEV-0243.
„Microsoft“ skaitmeninė gynyba
Atrinkta jums

2023 m. „Microsoft“ skaitmeninės gynybos ataskaita: Kibernetinio atsparumo stiprinimas

Naujausioje „Microsoft“ skaitmeninės gynybos ataskaitoje nagrinėjama besikeičianti grėsmių aplinka ir aptariamos galimybės bei iššūkiai, su kuriais susiduriame tapdami atsparūs kibernetiniams nusikaltimams.
Sužinokite daugiau

Nors šiuo metu nežinoma, kas tiksliai vykdo nusikalstamą veiką, nustatėme, kad kenkėjiška infrastruktūra išplitusi po visą pasaulį, įskaitant Kiniją, Jungtines Valstijas ir Rusiją. Be finansinių paskatų vedamų kibernetinių nusikaltėlių, pastebėjome, kad kibernetinių grėsmių sukėlėjai naudoja nulaužtas kopijas veikdami dėl užsienio vyriausybių, pvz., Rusijos, Kinijos, Vietnamo ir Irano, interesų.

„Microsoft“, „Fortra“ ir „Health-ISAC“ nenuleidžia rankų ir deda visas pastangas, kad pagerintų ekosistemos saugą. Spręsdami šią bylą, bendradarbiaujame su FTB kibernetinių nusikaltimų skyriumi, Nacionaliniu kibernetinių nusikaltimų tyrimų bendruoju komitetu (NIJTF) ir Europolo Europos kibernetinių nusikaltimų centru (EC3). Nors šie veiksmai turės įtakos nusikaltėlių veiksmams, numanome, kad šie bandys atgaivinti savo pastangas. Todėl turime likti budrūs. Nesibaigiančiais teisiniais ir techniniais veiksmais „Microsoft“, „Fortra“ ir „Health-ISAC“, kartu su savo partneriais, toliau stebės ir imsis veiksmų, kad sutrikdytų tolesnę nusikalstamą veiką, taip pat ir „Cobalt Strike“ nulaužtų kopijų naudojimą.

„Fortra“ skiria reikšmingą kiekį kompiuterių ir žmogiškųjų išteklių kovai su neteisėtu programinės įrangos ir nulaužtų „Cobalt Strike“ kopijų naudojimu bei padeda klientams nustatyti, ar jų programinės įrangos licencijos pažeistos. „Fortra“ patikrina teisėtus saugos specialistus, įsigyjančius „Cobalt Strike“ licencijas, ir reikalauja laikytis naudojimo apribojimų ir eksporto kontrolės. „Fortra“ aktyviai bendradarbiauja su socialinių tinklų ir failų bendrinimo svetainėmis, siekdama pašalinti nulaužtas „Cobalt Strike“ versijas, vos tik jos pasirodo tokiose svetainėse. Kadangi nusikaltėliai pritaikė savo metodus, „Fortra“ modifikavo „Cobalt Strike“ programinės įrangos saugumo kontrolę, kad pašalintų metodus, naudojamus nulaužti pasenusias „Cobalt Strike“ versijas.

Kaip ir darome nuo 2008 m., „Microsoft“ DCU toliau stengsis sustabdyti kenkėjiškų programų plitimą keldama civilines bylas ir siekdama apsaugoti klientus daugelyje pasaulio šalių, kurioje galioja šie įstatymai. Toliau dirbsime su ISP ir CERT, kad atpažintume ir padėtume nukentėjusiesiems.

Susiję straipsniai

Trys būdai, kaip apsisaugoti nuo išpirkos reikalaujančių programų

Šiuolaikinė apsauga nuo išpirkos reikalaujančios programinės įrangos reikalauja kur kas daugiau nei tik nustatyti aptikimo priemones. Raskite tris svarbiausius būdus, kaip šiandien galite sustiprinti savo tinklo apsaugą nuo išpirkos reikalaujančių programų.
Sužinokite daugiau

Išpirkos reikalaujančios programos kaip paslauga: Naujasis industrializuotų kibernetinių nusikaltimų veidas

Naujausias kibernetinių nusikaltimų modelis – žmogaus valdomos atakos – skatina įvairių gebėjimų nusikaltėlius.
Sužinokite daugiau

Užkulisiuose su kibernetinių nusikaltimų ir apsaugos nuo išpirkos reikalaujančių programų ekspertu Nicku Carru

„Microsoft“ grėsmių žvalgybos centro kibernetinių nusikaltimų žvalgybos komandos vadovas Nick Carr aptaria išpirkos reikalaujančių programų tendencijas, paaiškina, ką „Microsoft“ daro, kad apsaugotų klientus nuo išpirkos reikalaujančių programų, ir nurodo, ką organizacijos gali daryti, jei nuo jų nukentėjo.
Sužinokite daugiau

Stebėkite „Microsoft“ saugą