Microsoft dijo que se asoció con Fortra y el Centro de análisis e intercambio de información de salud (Health-ISAC) para abordar el abuso de Cobalt Strike por parte de los ciberdelincuentes para distribuir malware, incluido el ransomware.
Con ese fin, la Unidad de Delitos Digitales (DCU) del gigante tecnológico reveló que aseguró un mandato judicial en los EE. UU. para “eliminar las copias heredadas e ilegales de Cobalt Strike para que los ciberdelincuentes ya no puedan usarlas”.
Si bien Cobalt Strike, desarrollado y mantenido por Fortra (anteriormente HelpSystems), es una herramienta legítima posterior a la explotación utilizada para la simulación de adversarios, los actores de amenazas han utilizado como armas versiones ilegales descifradas del software a lo largo de los años.
Los actores de ransomware, en particular, han aprovechado Cobalt Strike después de obtener acceso inicial a un entorno de destino para escalar privilegios, moverse lateralmente a través de la red e implementar malware de cifrado de archivos.
“Las familias de ransomware asociadas o implementadas por copias descifradas de Cobalt Strike se han relacionado con más de 68 ataques de ransomware que afectan a organizaciones de atención médica en más de 19 países de todo el mundo”, dijo Amy Hogan-Burney, gerente general de DCU, dicho.
Al interrumpir el uso de copias heredadas de Cobalt Strike y el software de Microsoft comprometido, el objetivo es obstaculizar los ataques y obligar a los adversarios a repensar sus tácticas, agregó la compañía.
Aprenda a proteger el perímetro de identidad: estrategias comprobadas
Mejore la seguridad de su empresa con nuestro próximo seminario web sobre ciberseguridad dirigido por expertos: ¡Explore las estrategias del perímetro de identidad!
Redmond señaló además el uso indebido de Cobalt Strike por parte de grupos de estados-nación cuyas operaciones se alinean con las de Rusia, China, Vietnam e Irán, y agregó que detectó infraestructura maliciosa que aloja Cobalt Strike en todo el mundo, incluidos China, EE. UU. y Rusia.
La represión legal se produce meses después de que Google Cloud identificara 34 versiones pirateadas diferentes de la herramienta Cobalt Strike en un intento de “hacer que sea más difícil para los malos abusar”.