Ngày 07 tháng 4 năm 2023Ravie Lakshmanan
Microsoft cho biết họ đã hợp tác với Fortra và Trung tâm phân tích và chia sẻ thông tin sức khỏe (Health-ISAC) để giải quyết việc tội phạm mạng lạm dụng Cobalt Strike để phát tán phần mềm độc hại, bao gồm cả ransomware.
Cuối cùng, Đơn vị tội phạm kỹ thuật số (DCU) của gã khổng lồ công nghệ tiết lộ rằng họ đã nhận được lệnh của tòa án ở Hoa Kỳ để “xóa các bản sao cũ, bất hợp pháp của Cobalt Strike để tội phạm mạng không thể sử dụng chúng nữa.”
Trong khi Cobalt Strike, được phát triển và duy trì bởi Fortra (trước đây là HelpSystems), là một công cụ hậu khai thác hợp pháp được sử dụng để mô phỏng kẻ thù, các phiên bản bẻ khóa bất hợp pháp của phần mềm đã được các tác nhân đe dọa vũ khí hóa trong nhiều năm.
Đặc biệt, những kẻ tấn công ransomware đã tận dụng Cobalt Strike sau khi có được quyền truy cập ban đầu vào môi trường mục tiêu để leo thang đặc quyền, di chuyển ngang qua mạng và triển khai phần mềm độc hại mã hóa tệp.
Amy Hogan-Burney, tổng giám đốc của DCU, cho biết: “Các họ ransomware liên quan đến hoặc được triển khai bởi các bản sao Cobalt Strike bị bẻ khóa có liên quan đến hơn 68 cuộc tấn công ransomware ảnh hưởng đến các tổ chức chăm sóc sức khỏe tại hơn 19 quốc gia trên thế giới”.
Công ty cho biết thêm: Bằng cách làm gián đoạn việc sử dụng các bản sao cũ của Cobalt Strike và phần mềm Microsoft bị xâm phạm, mục tiêu là cản trở các cuộc tấn công và buộc kẻ thù phải suy nghĩ lại về chiến thuật của họ.
Redmond lưu ý thêm về việc lạm dụng Cobalt Strike bởi các nhóm quốc gia có hoạt động phù hợp với hoạt động của Nga, Trung Quốc, Việt Nam và Iran, đồng thời cho biết thêm họ đã phát hiện cơ sở hạ tầng độc hại lưu trữ Cobalt Strike trên toàn cầu, bao gồm cả Trung Quốc, Mỹ và Nga.
Cuộc đàn áp hợp pháp diễn ra vài tháng sau khi google Cloud xác định được 34 phiên bản phát hành bị tấn công khác nhau của công cụ Cobalt Strike trong nỗ lực “làm cho kẻ xấu khó lạm dụng hơn”.
