Trace Id is missing
Przejdź do głównej zawartości
Security Insider

Powstrzymywanie cyberprzestępców przed niewłaściwym wykorzystywaniem narzędzi zabezpieczeń

Udostępnij
Zestaw ikon na pomarańczowym tle.

Jednostka firmy Microsoft ds. cyber­przestępczości (Digital Crimes Unit, DCU), producent oprogramowania cyberzabezpieczeń Fortra™ i organizacja Health Information Sharing and Analysis Center (Health-ISAC) podejmują działania techniczne i prawne, aby zakłócić funkcjonowanie starszych wersji narzędzia Cobalt Strike ze złamanymi zabezpieczeniami i niewłaściwie używanego oprogramowania firmy Microsoft, które są wykorzystywane przez cyberprzestępców do rozpowszechniania złośliwego oprogramowania, w tym oprogramowania wymuszającego okup. Tak zmienił się sposób pracy jednostki DCU — jej zakres jest większy, a działania bardziej złożone niż w przeszłości. Zamiast zakłócać dowodzenie i kontrolę nad rodziną złośliwego oprogramowania teraz pracujemy wspólnie z firmą Fortra nad usuwaniem nielegalnych starszych kopii narzędzia Cobalt Strike, aby nie mogli z nich korzystać cyberprzestępcy.

Musimy być wytrwali w usuwaniu starszych kopii narzędzia Cobalt Strike ze złamanymi zabezpieczeniami hostowanych na całym świecie. Ta istotna aktywność firmy Fortra ma na celu ochronę legalnego użycia jej narzędzi zabezpieczających. Firma Microsoft jest podobnie zaangażowana w utrzymanie legalnego użycia swoich produktów i usług. Wierzymy też, że wybierając nas jako partnera tych działań, firma Fortra wyraża uznanie dla pracy jednostki DCU, która zwalczała cyberprzestępczość przez ostatnie dziesięć lat. Pragniemy zająć się wspólnie nielegalnymi metodami dystrybucji cyberprzestępców.

Cobalt Strike jest legalnym i popularnym narzędziem dostarczanym przez firmę Fortra, używanym po ataku z wykorzystaniem luk do symulowania wrogiego ataku. Przestępcy łamią czasem zabezpieczenia starszych wersji oprogramowania i dokonują w nich zmian. Te nielegalne, „złamane” kopie są używane do przypuszczania destrukcyjnych ataków, takich jak te wymierzone w rząd Kostaryki i irlandzki system ochrony zdrowia Health Service Executive. Zestawy SDK i interfejsy API firmy Microsoft również podlegają nadużyciom w ramach kodowania złośliwego oprogramowania oraz jako infrastruktura dystrybucji złośliwego oprogramowania przestępców, aby namierzać i wprowadzać w błąd ofiary.

Rodziny oprogramowania ransomware powiązane z kopiami narzędzia Cobalt Strike ze złamanymi zabezpieczeniami lub przez nie wdrożone łączy się z ponad 68% ataków z użyciem oprogramowania ransomware, które dotknęły organizacji ochrony zdrowia w ponad 19 krajach na całym świecie. Te ataki kosztowały systemy szpitali miliony dolarów w ramach kosztów odzyskiwania i naprawy, a dodatkowo przerwy w usługach opieki nad pacjentami w stanie krytycznym, w tym opóźnienie diagnostyki, obrazowania i wyników laboratoryjnych, odwołane zabiegi medyczne i opóźnienia w leczeniu chemioterapią, żeby wymienić tylko kilka z nich.

Globalna dystrybucja kopii narzędzia Cobalt Strike ze złamanymi zabezpieczeniami
Dane firmy Microsoft pokazujące globalne rozprzestrzenianie się komputerów zainfekowanych przez kopie narzędzia Cobalt Strike ze złamanymi zabezpieczeniami.

31 marca 2023 r., Stany Zjednoczone Sąd rejonowy dla Dystryktu Wschodniego w Nowym Jorku wydał postanowienie zezwalające firmom Microsoft i Fortra oraz organizacji Health-ISAC na zakłócanie funkcjonowania złośliwej infrastruktury używanej przez przestępców dla ułatwienia ataków. To umożliwia nam powiadamianie właściwych usługodawców internetowych (ISP) i zespołów reagowania na awarie komputerowe (CERT), które pomagają w wyłączeniu infrastruktury, skutecznie przerywając połączenie między operatorami zaangażowanymi w przestępstwo i zainfekowanymi komputerami poszkodowanych.

Działania dochodzeniowe firm Fortra i Microsoft uwzględniały wykrywanie, analizę, telemetrię i odtwarzanie. Ponadto globalna sieć partnerów, w tym organizacja Health-ISAC, zespół analizy cyberzagrożeń firmy Fortra i zespół analizy zagrożeń Microsoft, dostarczyła dane i szczegółowe informacje, które wzmocniły naszą argumentację prawną. Nasze działanie skupia się wyłącznie na zatrzymaniu starszych kopii narzędzia Cobalt Strike ze złamanymi zabezpieczeniami i oprogramowania firmy Microsoft z naruszonymi zabezpieczeniami.

Firma Microsoft rozwija również metodę prawną używaną z sukcesem do zakłócania funkcjonowania złośliwego oprogramowania i operacji podmiotów państwowych, wymierzoną w nadużywanie narzędzi zabezpieczeń przez szerokie spektrum cyberprzestępców. Zakłócanie funkcjonowania starszych kopii narzędzia Cobalt Strike ze złamanymi zabezpieczeniami znacząco utrudni zarabianie na tych nielegalnych kopiach i spowolni ich użycie na potrzeby cyberataków, zmuszając przestępców do ponownej oceny i zmiany taktyk. Obecne działania obejmują też roszczenia z tytułu praw autorskich względem złośliwego użycia kodu oprogramowania firm Microsoft i Fortra, który został zmieniony i użyty z dopuszczeniem się nadużycia w celu wyrządzenia szkody.

Fortra podjęła istotne kroki, aby zapobiegać niewłaściwemu użyciu swojego oprogramowania, w tym restrykcyjne praktyki weryfikacji klientów. Wiadomo jednak, że przestępcy kradną starsze wersje oprogramowania zabezpieczającego, w tym narzędzia Cobalt Strike, tworząc kopie ze złamanymi zabezpieczeniami, aby tylnym wejściem uzyskać dostęp do maszyn i wdrożyć złośliwe oprogramowanie. Obserwujemy, że operatorzy oprogramowania ransomware używają kopii narzędzia Cobalt Strike ze złamanymi zabezpieczeniami i dopuszczają się nadużyć w stosunku do oprogramowania firmy Microsoft, aby wdrażać oprogramowanie ransomware, między innymi Conti i LockBit, w ramach modelu RaaS.

Źródła zagrożenia używają kopii oprogramowania ze złamanymi zabezpieczeniami, aby przyspieszyć wdrażanie swojego oprogramowania ransomware w sieciach z naruszonymi zabezpieczeniami. Poniższy diagram prezentuje przepływ ataku, podkreślając czynniki, które mają wpływ, w tym spersonalizowane wyłudzanie informacji i złośliwe wiadomości-śmieci, aby uzyskać wstępnie dostęp, ale również niewłaściwe użycie kodu wykradzionego firmom takim jak Microsoft i Fortra.

Diagram przedstawiający przepływ ataku źródła zagrożenia
Przykład przepływu ataku dokonanego przez źródło zagrożenia DEV-0243.
Ochrona zasobów cyfrowych firmy Microsoft
Polecane

Raport firmy Microsoft na temat ochrony zasobów cyfrowych 2023: Budowanie cyberochrony

Raport firmy Microsoft na temat ochrony zasobów cyfrowych odkrywa w ostatnim wydaniu zmieniający się krajobraz zagrożeń oraz omawia możliwości i wyzwania związane z cyberochroną.
Dowiedz się więcej

Chociaż dokładne tożsamości osób kierujących operacjami przestępczymi są obecnie nieznane, wykryliśmy złośliwą infrastrukturę obejmującą cały świat, w tym Chiny, Stany Zjednoczone i Rosję. Poza cyberprzestępcami motywowanymi finansowo obserwujemy też źródła zagrożeń używające kopii ze złamanymi zabezpieczeniami, które działają w interesie obcych rządów, w tym Rosji, Chin, Wietnamu i Iranu.

Firmy Microsoft i Fortra oraz organizacja Health-ISAC pozostają nieugięte w swoich staraniach o ulepszenie zabezpieczeń ekosystemu. Współpracujemy w tej sprawie z wydziałem FBI ds. cyberprzestrzeni, centrum National Cyber Investigative Joint Task Force (NCIJTF) i jednostką Europolu European Cybercrime Centre (EC3). Ta akcja wpłynie na natychmiastowe operacje przestępców, ale jesteśmy w pełni przygotowani na to, że podejmą próby wznowienia swoich wysiłków. Nasz działanie nie ma zatem jednorazowego i skończonego charakteru. Firma Microsoft i Fortra oraz organizacja Health-ISAC prowadząc z partnerami bieżące czynności prawne i techniczne, będą nadal monitorować dalsze operacje przestępców, w tym użycie kopii narzędzia Cobalt Strike ze złamanymi zabezpieczeniami, i podejmować działania, aby je zakłócać.

Fortra znaczącym nakładem zasobów obliczeniowych i ludzkich walczy z nielegalnym użyciem swojego oprogramowania i kopii narzędzia Cobalt Strike ze złamanymi zabezpieczeniami, pomagając klientom ustalić, czy naruszono zabezpieczenia ich licencji oprogramowania. Działający legalnie praktycy w dziedzinie zabezpieczeń, którzy kupują licencje narzędzia Cobalt Strike, są weryfikowani przez firmę Fortra i są zobowiązywani do postępowania zgodnie z ograniczeniami użycia i mechanizmami kontroli eksportu. Fortra aktywnie współpracuje z mediami społecznościowymi i witrynami udostępniania plików, aby usuwać kopie narzędzia Cobalt Strike ze złamanymi zabezpieczeniami, gdy pojawią się na tych stronach internetowych. Ponieważ przestępcy zastosowali jej techniki, firma Fortra wdrożyła w oprogramowaniu narzędzia Cobalt Strike mechanizmy kontroli, aby wyeliminować metody, których użyto do złamania zabezpieczeń starszych wersji narzędzia Cobalt Strike.

Tak jak robimy to od 2008 roku, jednostka DCU będzie kontynuowała starania, aby powstrzymać rozpowszechnianie się złośliwego oprogramowania, wnosząc pozy cywilne i chroniąc klientów w wielu krajach na świecie, gdzie te prawa obowiązują. Będziemy też dalej pracować z usługodawcami internetowymi i zespołami CERT, aby identyfikować poszkodowanych i korygować ich systemy.

Powiązane artykuły

Trzy metody ochrony przed oprogramowaniem ransomware

Wdrażanie systemów wykrywania zagrożeń nie jest wystarczającym środkiem ochrony przed nowoczesnym oprogramowaniem wymuszającym okup. Zapoznaj się z trzema głównymi metodami zwiększania bezpieczeństwa swojej sieci przed oprogramowaniem ransomware.
Dowiedz się więcej

Oprogramowanie ransomware jako usługa: Nowe oblicze uprzemysłowionej cyber­przestępczości

Najnowszy model biznesowy w cyber­przestępczości, ataki obsługiwane przez człowieka, ośmiela przestępców o różnych zdolnościach.
Dowiedz się więcej

Za kulisami z ekspertem ds. cyber­przestępczości i zwalczania oprogramowania ransomware Nickiem Carrem

Nick Carr, kierownik zespołu ds. analizy cyber­przestępczości w Centrum analizy zagrożeń Microsoft omawia trendy w oprogramowaniu ransomware, wyjaśnia działania firmy Microsoft w zakresie ochrony klientów przed tym oprogramowaniem i nakreśla działania, które mogą podejmować organizacje dotknięte atakiem z jego udziałem.
Dowiedz się więcej

Obserwuj rozwiązania zabezpieczające firmy Microsoft