La Agencia Nacional contra el Crimen (NCA) del Reino Unido, junto con agencias asociadas de todo el mundo, incluido el FBI y agencias de Australia, Canadá y la Unión Europea, ha emprendido una serie de acciones coercitivas contra los usuarios de la herramienta de prueba de penetración Cobalt Strike que estaban explotarlo para permitir la actividad cibercriminal.
La Operación Morfeo tomó medidas la semana pasada contra 690 casos individuales de Cobalt Strike llevados a cabo en 129 proveedores de servicios de Internet (ISP) en casi 30 países. Al momento de escribir este artículo, la coalición de la NCA ha logrado neutralizar 593 de estas instancias maliciosas mediante una combinación de desactivar los propios servidores y notificar a los ISP que alojan malware para que tomen medidas.
Aunque Cobalt Strike es vendido y utilizado legítimamente por muchos (de hecho, actualmente es propiedad de Fortra), a lo largo de los años desde su creación por el desarrollador Raphael Mudge, también se ha convertido en la herramienta de referencia para los ciberdelincuentes que buscan crear un ciberataque.
Para estos actores, es relativamente fácil adquirir versiones pirateadas o sin licencia, o descifrar versiones anteriores, de Cobalt Strike y explotar sus capacidades para infiltrarse rápidamente en los sistemas y redes de TI de sus víctimas y realizar ransomware y otros ataques cibernéticos.
Como tal, dijo la NCA, la versión ilícita de Cobalt Strike se ha utilizado en algunos de los mayores ataques cibernéticos de los últimos años, así como por múltiples bandas de ransomware, incluidas empresas como Ryuk y Conti.
“Aunque Cobalt Strike es un software legítimo, lamentablemente los ciberdelincuentes han explotado su uso con fines nefastos”, dijo el director de liderazgo de amenazas de la NCA, Paul Foster. “Las versiones ilegales han ayudado a reducir la barrera de entrada al ciberdelito, facilitando que los delincuentes en línea desaten dañinos ataques de ransomware y malware con poca o ninguna experiencia técnica. Estos ataques pueden costar a las empresas millones en términos de pérdidas y recuperación.
“Las perturbaciones internacionales como éstas son la forma más eficaz de degradar a los ciberdelincuentes más dañinos, eliminando las herramientas y servicios que sustentan sus operaciones. Instaría a cualquier empresa que haya sido víctima de un delito cibernético a que se presente y denuncie dichos incidentes a las autoridades”.
¿Cómo evito que utilicen Cobalt Strike en mi contra?
Al igual que muchas herramientas utilizadas por los ciberdelincuentes, la principal arma que los profesionales de seguridad y TI pueden usar contra Cobalt Strike es prestar atención a los conceptos básicos de higiene de la seguridad cibernética y comunicarlos a toda su organización.
Cobalt Strike generalmente llega a través de un correo electrónico de phishing o spam que intenta lograr que la víctima potencial haga clic en un enlace o abra un archivo adjunto malicioso, que luego instala una baliza Cobalt Strike que le brinda al ciberdelincuente acceso remoto al sistema comprometido para que pueda obtener trabajar. Por lo tanto, implementar y hacer cumplir medidas y políticas de seguridad del correo electrónico es la primera y mejor opción.
Además, Fortra se ha comprometido a seguir trabajando con las autoridades y la industria de la seguridad para identificar y eliminar versiones anteriores del software de Internet.