Trace Id is missing

Stoppa cyberbrottslingar från att missbruka säkerhetsverktyg

En uppsättning ikoner mot en orange bakgrund.

Microsofts Digital Crimes Unit (DCU), cybersäkerhetsprogramvaruföretaget Fortra™ och Health Information Sharing and Analysis Center (Health-ISAC) har vidtagit tekniska och juridiska åtgärder för att bekämpa knäckta äldre kopior av Cobalt Strike och missbrukad Microsoft-programvara, som cyberbrottslingar har använt för att distribuera skadlig programvara, utpressningstrojaner inräknat. Detta är en förändring av hur DCU har arbetat tidigare – omfattningen är större och verksamheten är mer komplex. Istället för att störa styrningen och kontrollen av den skadliga programvaran, så arbetar vi den här gången tillsammans med Fortra för att ta bort olagliga, äldre kopior av Cobalt Strike, så att de inte längre kan användas av cyberbrottslingarna.

Vi kommer att behöva vara ihärdiga när vi arbetar för att ta ner de knäckta äldre kopior av Cobalt Strike som förekommer runt om i världen. Detta är en viktig åtgärd från Fortras sida för att skydda den legitima användningen av deras säkerhetsverktyg. Microsoft har på samma sätt engagerat sig för en legitim användning av sina produkter och tjänster. Vi tror också att det faktum att Fortra väljer att samarbeta med oss ​​kring denna åtgärd är ett erkännande av DCU:s arbete för att bekämpa cyberbrottsligheten under det senaste decenniet. Tillsammans är vi fast beslutna att ta oss an cyberbrottslingens illegala distributionsmetoder.

Cobalt Strike är ett legitimt och populärt post-exploateringsverktyg som Fortra använder för att simulera brottslingarnas agerande. Ibland har äldre versioner av programvaran missbrukats och ändrats av cyberbrottslingar. Dessa olagliga kopior kallas "knäckta" och har använts för att starta destruktiva attacker, som de mot Costa Ricas regering och den irländska hälsovårdsmyndigheten. Microsofts programvaruutvecklingskit och API:er missbrukas som en del av kodningen av skadlig programvara såväl som den illegala infrastrukturen för distribution av skadlig programvara i syfte att angripa och vilseleda offren.

De utpressningstrojaner som är associerade med eller har placerats ut av knäckta kopior av Cobalt Strike har kopplats till mer än 68 attacker med utpressningstrojaner, vilka har påverkat sjukvårdsorganisationer i mer än 19 länder runt om i världen. Dessa attacker har kostat sjukhussystemen miljontals dollar i återställnings- och reparationskostnader, plus avbrott i kritiska patientvårdstjänster, som försenade diagnostik-, bild- och laboratorieresultat, inställda medicinska procedurer och försenade cytostatikabehandlingar, bara för att nämna några saker.

Global distribution av knäckta kopior av Cobalt Strike
Microsoft-data som visar den globala spridningen av datorer infekterade av knäckta kopior av Cobalt Strike.

Den 31 mars 2023 utfärdade den amerikanska distriktsdomstolen för Eastern District of New York ett domstolsbeslut som tillåter Microsoft, Fortra och Health-ISAC att oskadliggöra den skadliga infrastruktur som brottslingarna använder för att underlätta sina attacker. Detta innebär att vi kan informera relevanta internetleverantörer (ISP:er) och de CERT-team som kan hjälpa till med att ta infrastrukturen offline, vilket effektivt bryter förbindelsen mellan de kriminella operatörerna och offrens infekterade datorer.

Fortras och Microsofts utredningsinsatser omfattade identifiering, analys, telemetri och bakåtkompilering, med ytterligare data och insikter, som stärker vårt rättsfall, från ett globalt nätverk av partner, däribland data och insikter från Health-ISAC, Fortra Cyber ​​Intelligence-teamet och Microsoft Threat Intelligence-teamet. Vår åtgärd fokuserar uteslutande på att oskadliggöra knäckta, äldre kopior av Cobalt Strike och komprometterad programvara från Microsoft.

Microsoft använder sig också av en juridisk metod som framgångsrikt har använts för att oskadliggöra skadlig programvara och nationella statsoperationer med fokus på missbruk av säkerhetsverktyg som används av ett brett spektrum av cyberbrottslingar. Att oskadliggöra knäckta äldre kopior av Cobalt Strike kommer att begränsa intäktsgenereringen avsevärt för dessa illegala kopior och ineffektivisera användningen av dem vid cyberattacker, vilket kommer att tvinga brottslingarna att omvärdera och ändra sin taktik. Dagens åtgärd omfattar även upphovsrättsanspråk mot skadlig användning av Microsofts och Fortras programvarukod som ändras och missbrukas för att orsaka skada.

Fortra har vidtagit kraftfulla åtgärder för att förhindra missbruk av sin programvara, bl.a. genom strikta metoder för kundkontroll. Brottslingarna är dock kända för att stjäla äldre versioner av säkerhetsprogramvara, som Cobalt Strike, skapa knäckta kopior så att de får bakdörrsåtkomst till datorer varifrån de kan distribuera skadlig programvara. Vi har observerat utpressningstrojansoperatörer som använder knäckta kopior av Cobalt Strike och komprometterad Microsoft-programvara för att distribuera Conti, LockBit och andra utpressningstrojaner som en del av affärsmodellen utpressningstrojaner som en tjänst.

Hotaktörer använder knäckta kopior av programvara så att de kan påskynda utplaceringen av utpressningstrojaner i komprometterade nätverk. Diagrammet nedan visar ett attackflöde, och lyfter fram bidragande faktorer, t.ex. nätfiske och e-post med skadligt innehåll, som används för att få första åtkomst, samt missbruk av kod som stulits från företag som Microsoft och Fortra.

Flödesdiagram över en hotaktörs attackflöde
Exempel på ett attackflöde från hotaktören DEV-0243.
Microsoft Digital Defense
Aktuellt

Microsofts rapport om digitalt försvar 2023: Bygga upp cybermotstånd

I den senaste utgåvan av Microsofts rapport om digitalt försvar presenteras det framväxande hotlandskapet och de möjligheter och utmaningar vi står inför för att bli mer motståndskraftiga mot cyberhot.

Även om de som utför de kriminella operationerna för närvarande inte har kunnat identifieras exakt, så har vi upptäckt skadlig infrastruktur över hela världen, även i Kina, USA och Ryssland. Förutom ekonomiskt motiverade cyberbrottslingar har vi kunnat observera hotaktörer som agerar i utländska regeringars intresse, exempelvis regeringarna i Ryssland, Kina, Vietnam och Iran, med hjälp av knäckta kopior.

På Microsoft, Fortra och Health-ISAC förblir vi obevekliga i våra ansträngningar att förbättra ekosystemets säkerhet, och vi samarbetar med FBI Cyber Division, National Cyber Investigative Joint Task Force (NCIJTF) och Europols European Cybercrime Centre (EC3) i det här ärendet. Även om denna åtgärd kommer att påverka brottslingarnas omedelbara verksamhet, så förväntar vi oss fullt ut att de snart kommer att försöka återuppta sina ansträngningar. Därför är vårt arbete långtifrån klappat och klart. Genom pågående juridiska och tekniska åtgärder kommer Microsoft, Fortra och Health-ISAC, tillsammans med våra partner, att fortsätta övervaka och vidta åtgärder i syfte att skada ytterligare kriminell verksamhet, som användning av knäckta kopior av Cobalt Strike.

Fortra ägnar betydande data- och personalresurser åt att bekämpa den illegala användningen av dess mjukvara och knäckta kopior av Cobalt Strike, vilket underlättar för kunderna att avgöra om deras programvarulicenser har komprometterats. Legitima säkerhetstillämpare som köper Cobalt Strike-licenser granskas av Fortra och måste följa strikta användningsrestriktioner och exportkontroller. Fortra arbetar aktivt med sociala medier och fildelningssajter, så att man kan ta bort spräckta kopior av Cobalt Strike när de dyker upp i dessa webbmiljöer. I takt med att brottslingarna anpassar sina tekniker har Fortra anpassat säkerhetskontrollerna i Cobalt Strike-programvaran så att de metoder som tidigare användes för att knäcka äldre versioner av Cobalt Strike kan elimineras.

Som vi har gjort alltsedan 2008 kommer Microsofts Digital Crimes Unit att fortsätta att arbeta oförtrutet för att stoppa spridningen av skadlig programvara genom att väcka civilrättsliga processer i syfte att skydda kunderna i de många länder runt om i världen där dessa lagar finns. Vi kommer också att fortsätta att samarbeta med ISP:er och CERT-team för att identifiera och hjälpa offer.

Relaterade artiklar

Tre sätt att skydda dig mot utpressningstrojaner

Modernt skydd mot utpressningstrojaner kräver mycket mer än bara identifieringsåtgärder. Utforska de tre bästa sätten att förstärka nätverkets säkerhet mot utpressningstrojaner redan idag.

Utpressningstrojaner som en tjänst: Den industriella cyberkriminalitetens nya ansikte

Den senaste affärsmodellen inom cyberbrottslighet, människostyrda attacker, uppmuntrar kriminella med olika förmågor.

Bakom kulisserna med Nick Carr, expert på cyberbrottslighet och bekämpandet av utpressningstrojaner

Nick Carr, Cybercrime Intelligence Team Lead på Microsoft Threat Intelligence Center, diskuterar trender vad gäller utpressningstrojaner, förklarar vad Microsoft gör för att skydda sina kunder från utpressningstrojaner och beskriver vad organisationer som drabbats av dem kan göra.

Följ Microsoft Security