Digital Crimes Microsoft: stop all’abuso dei tools di sicurezza informatica per distribuire malware
Stop all’abuso e alle copie crackate e legacy di Cobalt Strike e del software Microsoft utilizzate dai criminali per distribuire malware. Questo è l’obiettivo della Digital Crimes Unit (DCU) di Microsoft, che sta intraprendendo una nuova strategia – in sinergia con la società di software per la sicurezza informatica Fortra ™ e l’Health Information Sharing and Analysis Center ( Health-ISAC ) – per impedire ai criminali informatici di abusare degli strumenti di sicurezza.
L’azione intrapresa, rappresenta un cambio importante della strategia della Digital Crimes Unit di Microsoft, ha scritto Amy Hogan-Burney, direttore generale della DCU in “Stopping cyber criminals from abusing security tools” sul Blog di Microsoft.
“Invece di interrompere il comando e il controllo di una famiglia di malware, questa volta stiamo lavorando con Fortra per rimuovere le copie illegali e legacy di Cobalt Strike in modo che non possano più essere utilizzate dai criminali informatici”.
Amy Hogan-Burney
Le nuove azioni intraprese saranno distinte da persistenza contro il crimine informatico per proteggere gli strumenti di sicurezza e il loro uso legittimo.
Intanto è stato redatto un documento (c.a. 223 pagine) contro più gruppi noti per aver utilizzato versioni precedenti e modificate di Cobalt Strike in dozzine di attacchi ransomware. Il 31 marzo, un’ordinanza – dal tribunale distrettuale degli Stati Uniti per il distretto orientale di New York – ha consentito a Microsoft, Fortra e Health-ISAC di rimuovere gli indirizzi IP che ospitano le versioni crackate di Cobalt Strike e di sequestrare i nomi di dominio.
Ciò consente anche di avvisare gli ISP e i team di preparazione alle emergenze informatiche (CERT) per aiutare a portare l’infrastruttura offline e interrompere le connessioni con i computer delle vittime.
Mentre le identità esatte dei criminali motivati finanziariamente che conducono operazioni dannose rimangono nascoste, sono state invece rilevate dalle analisi “infrastrutture dannose in tutto il mondo, tra cui Cina, Stati Uniti e Russia” e, inoltre, sono stati osservati attori che agiscono nell’interesse di governi stranieri, tra cui Russia, Cina, Vietnam e Iran.
“Riteniamo inoltre che la scelta di Fortra di collaborare con noi per questa azione sia un riconoscimento del lavoro svolto da DCU nella lotta al crimine informatico” afferma Amy Hogan-Burney, ”insieme, ci impegniamo a perseguire i metodi di distribuzione illegale del criminale informatico”.
L’abuso delle copie crackate di Cobalt Strike
Le copie crackate di Cobalt Strike – strumento di test di penetrazione sviluppato da Fortra, che può anche essere utilizzato per attività di hacking o attacchi informatici – oggetto di abusi e alterazioni, sono state collegate a più di 68 attacchi ransomware che hanno colpito le organizzazioni sanitarie in più di 19 paesi in tutto il mondo tra cui attacchi distruttivi ad alto profilo contro il governo della Costa Rica e l’Irish Health Service Executive.
Gli attacchi ai sistemi ospedalieri sono già costati milioni di dollari in costi di recupero e riparazione, traducendosi ad esempio in: interruzioni dei servizi di assistenza ai pazienti critici e dei risultati ritardati per quanto riguarda la diagnostica e le tecnologie di imaging, procedure mediche annullate e ritardi nell’erogazione di trattamenti chemioterapici.
“L’’interruzione delle copie legacy violate di Cobalt Strike ostacolerà in modo significativo la monetizzazione di queste copie illegali e ne rallenta l’uso negli attacchi informatici, costringendo i criminali a rivalutare e cambiare le loro tattiche”.
Amy Hogan-Burney
E’ stato osservato che i gruppi ransomware – come Conti e LockBit – che utilizzano copie crackate di Cobalt Strike, hanno abusato del software Microsoft per ottenere l’accesso backdoor a sistemi mirati e distribuire malware sul modello “ransomware as a service” su reti compromesse.
Fonte: Microsoft Blog, esempio di un flusso di attacco da parte dell’attore di minacce DEV-0243
Microsoft, Fortra e Health-ISAC: lotta continua e persistente contro il crimine digitale
La lotta al cyber crime rimane al centro degli sforzi di Microsoft, Fortra e Health-ISAC in sinergia con la Cyber Division dell’FBI, la National Cyber Investigative Joint Task Force (NCIJTF) e il Centro europeo per la criminalità informatica (EC3) di Europol.
Ad ogni azione correttiva corrisponde però un’azione di contrasto: la nuova strategia intrapresa ostacolerà in modo significativo la monetizzazione delle copie illegali, rallentando l’utilizzo, ma la sfida contro il cyber crime, alla quale devono essere dedicate notevoli risorse sia informatiche che umane, è continua: gli aggressori infatti ad ogni strategia difesa trovano nuove modalità di attacco.
L’articolo Digital Crimes Microsoft: stop all’abuso dei tools di sicurezza informatica per distribuire malware proviene da Red Hot Cyber.