(https://i.postimg.cc/DyvsXBKY/Europol.png) (https://postimg.cc/G9fH0Ptk)
Europol coordinó una acción policial conjunta conocida como Operación Morfeo, que condujo al desmantelamiento de casi 600 servidores Cobalt Strike utilizados por los ciberdelincuentes para infiltrarse en las redes de las víctimas.
Durante una sola semana a finales de junio, las fuerzas del orden identificaron direcciones IP conocidas asociadas con actividades delictivas y nombres de dominio que formaban parte de la infraestructura de ataque utilizada por grupos delictivos.
En la siguiente etapa de la operación, los proveedores de servicios en línea recibieron la información recopilada para desactivar las versiones sin licencia de la herramienta.
"Las versiones más antiguas y sin licencia de la herramienta de formación de equipos rojos Cobalt Strike fueron atacadas durante una semana de acción coordinada desde la sede de Europol entre el 24 y el 28 de junio", dijo Europol.
"Un total de 690 direcciones IP fueron señaladas a proveedores de servicios en línea en 27 países. Al final de la semana, 593 de estas direcciones habían sido eliminadas".
La Operación Morfeo involucró a autoridades policiales de Australia, Canadá, Alemania, Países Bajos, Polonia y Estados Unidos y fue dirigida por la Agencia Nacional contra el Crimen del Reino Unido.
Socios de la industria privada como BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch y The Shadowserver Foundation también ofrecieron su apoyo durante esta operación internacional de aplicación de la ley, brindando ayuda a través de sus capacidades mejoradas de escaneo, telemetría y análisis para identificar los servidores Cobalt Strike utilizados en campañas cibercriminales.
Esta acción disruptiva coordinada por Europol es la culminación de una compleja investigación que comenzó hace tres años, en 2021.
"A lo largo de toda la investigación, se compartieron más de 730 piezas de inteligencia sobre amenazas que contenían casi 1,2 millones de indicadores de compromiso", añadió Europol.
"Además, el EC3 de Europol organizó más de 40 reuniones de coordinación entre los organismos encargados de hacer cumplir la ley y los socios privados. Durante la semana de acción, Europol instaló un puesto de mando virtual para coordinar las acciones policiales en todo el mundo".
Utilizado en ataques de ransomware y campañas de ciberespionaje
En abril de 2023, Microsoft, Fortra y el Centro de análisis e intercambio de información sanitaria (Health-ISAC) también anunciaron una amplia represión legal contra los servidores que alojan copias descifradas de Cobalt Strike, una de las principales herramientas de piratería de los ciberdelincuentes.
Cobalt Strike fue lanzado por Fortra (anteriormente Help Systems) hace más de una década como una herramienta comercial legítima de prueba de penetración para que los equipos rojos escaneen la infraestructura de red en busca de vulnerabilidades de seguridad. Sin embargo, los actores de amenazas han obtenido copias descifradas del software, lo que lo convierte en una de las herramientas más utilizadas en el robo de datos y los ataques de ransomware.
Los atacantes utilizan Cobalt Strike durante la etapa de ataque posterior a la explotación para implementar balizas que brindan acceso remoto persistente a redes comprometidas y ayudan a robar datos confidenciales o eliminar cargas maliciosas adicionales.
Microsoft dice que varios actores de amenazas y grupos de piratería respaldados por el estado están utilizando versiones descifradas de Cobalt Strike mientras operan en nombre de gobiernos extranjeros, como Rusia, China, Vietnam e Irán.
En noviembre de 2022, el equipo de Google Cloud Threat Intelligence también abrió una colección de indicadores de compromiso (IOC) y 165 reglas YARA para ayudar a los defensores a detectar componentes de Cobalt Strike en sus redes.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/europol-takes-down-593-cobalt-strike-servers-used-by-cybercriminals/