Trace Id is missing

Sprečavanje kibernetičkih kriminalaca u zloupotrebi bezbednosnih alatki

Deljenje
Skup ikona na narandžastoj pozadini.

Jedinica za digitalni kriminal (DCU) korporacije Microsoft, preduzeće za softver za kibernetičku bezbednost Fortra™ i Centar za deljenje i analizu zdravstvenih informacija (Health-ISAC) preduzimaju tehničke i zakonske mere za ometanje krekovanih, zastarelih kopija alatke Cobalt Strike i zloupotrebljenog Microsoft softvera, koje su kibernetički kriminalci koristili za distribuiranje malvera, uključujući i ransomver. To predstavlja promenu načina na koji je jedinica DCU ranije delovala – opseg je veći, a operacija složenija. Umesto ometanja komande i kontrole porodice malvera, ovog puta, sa preduzećem Fortra sarađujemo na uklanjanju nezakonitih, zastarelih kopija alatke Cobalt Strike kako kibernetički kriminalci više ne bi mogli da ih koriste.

U tom radu na uklanjanju krekovanih, zastarelih kopija alatke Cobalt Strike moramo da budemo istrajni, jer se koriste širom sveta. Ovo je veoma važna akcija koju preduzeće Fortra preduzima radi zaštite legitimnog korišćenja bezbednosnih alatki. Korporacija Microsoft je na sličan način posvećena legitimnom korišćenju svojih proizvoda i usluga. Verujemo i da odlukom o saradnji sa nama u ovoj akciji preduzeće Fortra odaje priznanje radu jedinice DCU u borbi protiv kibernetičkog kriminala tokom protekle decenije. Zajednički smo posvećeni borbi protiv nezakonitih metoda distribucije kibernetičkih kriminalaca.

Cobalt Strike je legitimna i popularna alatka preduzeća Fortra koja služi za simulaciju napadača nakon izvršene zloupotrebe. Kriminalci ponekad zloupotrebljavaju i menjaju starije verzije softvera. Te nezakonite kopije nazivaju se „krekovane“ i koriste se za pokretanje destruktivnih napada, poput onih koji su izvršeni na vladu Kostarike i na Izvršni odbor zdravstvene službe Irske. Kompleti za programiranje Microsoft softvera i programski interfejsi aplikacije zloupotrebljavaju se u sklopu kodiranja malvera, kao i infrastrukture za distribuciju malvera radi usmeravanja napada i zavaravanja žrtava.

Porodice ransomvera koje se koriste zajedno sa krekovanim kopijama alatke Cobalt Strike ili se pomoću njih primenjuju, povezane su sa više od 68 ransomver napada koji su ugrozili organizacije za zdravstvenu zaštitu u više od 19 zemalja širom sveta. Zbog tih napada bolnički sistemi su pretrpeli štetu u milionima dolara koje su morali da izdvoje za troškove oporavka i popravki, a tome treba dodati i ometanja u pružanju usluga nege kritičnim pacijentima, uključujući kašnjenja u dijagnostici i pribavljanju rezultata laboratorije i snimanja, otkazivanje medicinskih procedura i kašnjenja u pružanju tretmana hemoterapijom, što su samo neki od problema.

Globalna distribucija krekovanih kopija alatke Cobalt Strike
Podaci korporacije Microsoft koji pokazuju globalno širenje računara zaraženih krekovanim kopijama alatke Cobalt Strike.

SAD, 31. marta 2023. Okružni sud Istočnog okruga Njujorka izdao je sudski nalog kojim se dozvoljava da Microsoft, Fortra i Health-ISAC ometaju zlonamernu infrastrukturu koju kriminalci koriste kako bi olakšali sprovođenje napada. To nam omogućava da obavestimo relevantne dobavljače usluga (ISP) i timove za reagovanje na računarske hitne slučajeve (CERT) koji pomažu da se infrastruktura stavi van mreže, čime se efikasno prekida veza između kriminalnih operatera i zaraženih računara žrtava.

Istražni postupci preduzeća Fortra i korporacije Microsoft obuhvatali su otkrivanje, analizu, telemetriju i obrnuti inženjering, zajedno sa dodatnim podacima i uvidima za jačanje našeg pravnog slučaja iz globalne mreže partnera, uključujući podatke i uvide dobijene od organizacije Health-ISAC, Fortra tima za informacije o kibernetičkim pretnjama, kao i tima za Microsoft informacije o pretnjama. Naša akcija se fokusira isključivo na ometanje krekovanih, zastarelih kopija alatke Cobalt Strike i zloupotrebljenog Microsoft softvera.

Microsoft razvija i zakonski metod koji se uspešno koristi za ometanje malvera i operacija nacionalnih država radi usmeravanja na zloupotrebu bezbednosnih alatki koje koristi širok spektar kibernetičkih kriminalaca. Ometanje krekovanih zastarelih kopija alatke Cobalt Strike u značajnoj meri će sprečiti unovčavanje tih nezakonitih kopija i smanjiti njihovo korišćenje u kibernetičkim napadima, što će primorati kriminalce da ponovo procenjuju i menjaju svoje taktike. Ova sadašnja akcija obuhvata i tužbe u vezi sa autorskim pravima protiv zlonamernog korišćenja Microsoft i Fortra softverskog koda koji se menjaju i zloupotrebljavaju sa ciljem nanošenja štete.

Preduzeće Fortra je preduzelo značajne korake za sprečavanje zloupotrebe svog softvera, uključujući stroge prakse za proveru klijenata. Međutim, poznato je da kriminalci kradu starije verzije bezbednosnih softvera, uključujući Cobalt Strike, a potom prave krekovane kopije kako bi računarima pristupili na zadnja vrata i postavili malver. Zapazili smo da operateri ransomvera koriste krekovane kopije alatke Cobalt Strike i zloupotrebljen Microsoft softver kako bi primenili Conti, LockBit i neki drugi ransomver u sklopu poslovnog modela ransomvera kao usluge.

Zlonamerni akteri koriste krekovane kopije softvera kako bi ubrzali primenu ransomvera na ugroženim mrežama. Dijagram u nastavku prikazuje tok napada i ističe činioce koji doprinose, uključujući ciljani phishing i zlonamerne neželjene e-poruke radi dobijanja početnog pristupa, kao i zloupotrebe koda ukradenog od preduzeća kao što su Microsoft i Fortra.

Dijagram toka napada zlonamernog aktera
Primer toka napada koji sprovodi zlonamerni akter DEV-0243.
Microsoft digitalna bezbednost
Aktuelno

Microsoft izveštaj o digitalnoj bezbednosti za 2023: Izgradnja kibernetičke otpornosti

Najnovije izdanje Microsoft izveštaja o digitalnoj bezbednosti istražuje sve razvijenije okruženje pretnji i prikazuje prilike i probleme kroz koje prolazimo na putu ka kibernetičkoj otpornosti.
Saznajte više

Iako je tačan identitet svih onih koji sprovode kriminalne operacije trenutno nepoznat, uspeli smo da otkrijemo zlonamernu infrastrukturu širom sveta, uključujući Kinu, Sjedinjene Države i Rusiju. Pored finansijski motivisanih kibernetičkih kriminalaca, uočili smo zlonamerne aktere koji korišćenjem krekovanih kopija deluju u interesu stranih vlada, uključujući Rusiju, Kinu, Vijetnam i Iran.

Svi mi, Microsoft, Fortra i Health-ISAC ostajemo neumoljivi u naporima da poboljšamo bezbednost ekosistema, a u ovom predmetu sarađujemo i sa Odeljenjem za kibernetički kriminal agencije FBI, Udruženom radnom grupom za istrage kibernetičkog kriminala (NCIJTF) i Evropskim centrom za kibernetički kriminal agencije Europol (EC3). Iako će ova akcija uticati na neposredne operacije kriminalaca, predviđamo da će oni nastaviti sa svojim pokušajima. Naša akcija stoga ne spada u one koje su jednom obavljene i problem je time rešen. Kroz ovu tekuću pravnu i tehničku akciju, Microsoft, Fortra i Health-ISAC, zajedno sa našim partnerima, nastavićemo da nadgledamo i preduzimamo radnje na ometanju daljih kriminalnih operacija, uključujući korišćenje krekovanih kopija alatke Cobalt Strike.

Fortra posvećuje značajne računarske i ljudske resurse borbi protiv nezakonitog korišćenja svog softvera i krekovanih kopija alatke Cobalt Strike, čime pomaže klijentima da utvrde da li su njihove licence za softver ugrožene. Fortra proverava osobe koje kupuju licence za Cobalt Strike za korišćenje u svojim delatnostima i zahteva od njih da se pridržavaju ograničenja upotrebe i kontrole izvoza. Fortra aktivno sarađuje sa društvenim medijima i sajtovima za deljenje datoteka na uklanjanju krekovanih kopija alatke Cobalt Strike uvek kada se pojave na tim veb resursima. Dok su kriminalci prilagođavali svoje tehnike, preduzeće Fortra je prilagođavalo kontrole bezbednosti u softveru za Cobalt Strike kako bi uklonilo metode koje se koriste za krekovanje starijih verzija alatke Cobalt Strike.

Kao i od 2008. godine, jedinica DCU korporacije Microsoft nastaviće sa naporima da zaustavi širenje malvera pokretanjem građanskih parnica za zaštitu klijenata u velikom broju zemalja širom sveta u kojima su ti zakoni na snazi. Nastavićemo da sarađujemo i sa dobavljačima usluga i timovima za reagovanje na računarske hitne slučajeve radi identifikacije i saniranja žrtava.

Srodni članci

Tri načina za zaštitu od ransomvera

Savremena odbrana od ransomvera zahteva mnogo više od pukog postavljanja mera za otkrivanje. Pronađite tri najbolja načina za jačanje bezbednosti mreže pri napadu ransomvera u današnje vreme.
Saznajte više

Ransomver kao usluga: Novo lice industrijalizovanog kibernetičkog kriminala

Najnoviji poslovni model u kibernetičkom kriminalu, napadi kojima upravljaju ljudi, ohrabruje kriminalce različitih sposobnosti.
Saznajte više

Iza kulisa sa Nikom Karom, stručnjakom za kibernetički kriminal i borbu protiv ransomvera

Nik Kar, vođa tima za obaveštavanje o kibernetičkom kriminalu u Microsoft centru za informacije o pretnjama, razmatra trendove ransomvera, objašnjava šta Microsoft radi po pitanju zaštite klijenata od ransomvera i opisuje šta organizacije mogu da preduzmu ako im se dogodi napad.
Saznajte više

Pratite Microsoft bezbednost