Microsoft, Fortra e Health Information Sharing and Analysis Center hanno chiesto e ottenuto dal tribunale di New York l’autorizzazione per smantellare una rete di server che ospitavano copie pirata di Cobalt Strike, noto software (legittimo) usato spesso per distribuire malware. Il tool è stato sfruttato dal gruppo Conti per effettuare l’attacco ransomware contro il governo del Costa Rica.
Chiusi server in tutto il mondo
Microsoft sottolinea un’importante novità nel modo in cui la sua Digital Crimes Unit cerca di contrastare le attività dei cybercriminali. Invece di smantellare i server C2 (command and control) è stata attuata una misura preventiva più complessa, ovvero il blocco dei domini usati per distribuire copie pirata di Cobalt Strike, il tool di adversary simulation di Fortra. Come si può vedere nell’immagine, i server sono in tutto il mondo.
Le infrastrutture usate per distribuire le copie illegali di Cobalt Strike sono state implementate abusando dei software Microsoft. Le versioni pirata del tool sono state sfruttate per eseguire oltre 68 attacchi ransomware in oltre 19 paesi. Tra i bersagli ci sono anche gli ospedali, quindi le conseguenze possono essere tragiche.
Per smantellare la rete di server e tagliare la connessione tra i cybercriminali e i computer delle vittime è stato chiesto aiuto agli ISP e ai CERT di vari paesi. Le versioni recenti di Cobalt Strike sono più difficili da “craccare”, quindi gli attacchi vengono effettuati con vecchie versioni. Cobalt Strike viene usato per mantenere la persistenza tramite accesso remoto, grazie al quale vengono rubati i dati e installati altri malware.