A Microsoft e Fortra recorreram a uma ordem judicial para tentar impedir o acesso dos cibercriminosos a uma das principais ferramentas de segurança usadas em hacking em suas operações. As duas empresas e o Health Information Sharing and Analysis Center (H-ISAC), departamento de saúde dos EUA, anunciaram uma ampla estratégia legal para combater as versões maliciosas do Cobalt Strike da Fortra e dos kits de desenvolvimento de software da Microsoft.
O Cobalt Strike é um programa de teste de penetração popular que permite que as empresas avaliem suas defesas de segurança antes de um ataque. Hackers, no entanto, estão usando uma versão hackeada da ferramenta parta implantar “beacons” em dispositivos comprometidos e realizar vigilância remota de rede ou executar comandos para ciberataques.
Em novembro de 2021, o H-ISAC emitiu um aviso para as instituições de saúde de que hackers apoiados por governos e grupos cibercriminosos estavam usando a técnica em seus ataques. O agora extinto grupo de ransomware Conti procurou utilizar o Cobalt Strike para implantar ransomware no sistema de saúde público da Irlanda no mesmo ano.
Na sexta-feira, 7, o Tribunal do Distrito Leste de Nova York concedeu às instituições uma ordem judicial autorizando as empresas a confiscar nomes de domínio que estão armazenando e disseminando cópias maliciosas do Cobalt Strike.
A decisão judicial permite que Microsoft, Fortra e o H-ISAC informem e desativem automaticamente endereços IP nos EUA que hospedam versões contaminadas dessas ferramentas. Essas remoções começarão imediatamente, e a ordem judicial permite mais remoções quando os criminosos constroem uma nova infraestrutura.
Na quinta-feira da semana passada, 6, a Microsoft também alertará os provedores de hospedagem na América Latina e na União Europeia sobre nomes de domínio suspeitos de hospedar cópias infectadas do Cobalt Strike.
Veja isso
Grupo Clop diz ter violado 130 empresas usando o GoAnywhere
Microsoft pode ser alvo de novas técnicas de ciberataques
A Microsoft e a Fortra também receberam uma ordem de restrição temporária contra qualquer um que violasse os direitos autorais de seus programas, tornando mais fácil para eles confiscar e encerrar versões não autorizadas do software.
É incomum que empresas privadas usem o sistema judicial por conta própria para perseguir hackers perigosos. Embora a Microsoft tenha usado anteriormente uma ordem judicial para derrubar grupos específicos, a ação atual é a primeira da empresa direcionada a ferramentas específicas usadas por um espectro diversificado de indivíduos. “Isso é algo que chamamos de disrupção persistente avançada; não será feita na quinta-feira”, disse Amy Hogan-Burney, gerente geral e conselheira geral associada para política e proteção de segurança cibernética da Microsoft.
Depois de toda a atenção dedicada ao Cobalt Strike, a Microsoft já começou a examinar as ferramentas que ela prevê que os cibercriminosos recorram a seguir, de acordo com Amy. Com agências de notícias internacionais.
