1. Puertoscanner en línea
  2. Últimas noticias y artículos sobre ciberseguridad
  3. Microsoft lidera la ofensiva global contra Cobalt Strike, protegiendo la atención médica del ransomware

Microsoft lidera la ofensiva global contra Cobalt Strike, protegiendo la atención médica del ransomware

RESUMEN EJECUTIVO:

Microsoft, el Centro de Análisis e Intercambio de Información de Salud (Health-ISAC)y otros socios han anunciado una represión técnica y legal generalizada contra los servidores que alojan copias "descifradas" de Cobalt Strike; una herramienta comúnmente desplegada por los ciberdelincuentes para distribuir malware, incluido el ransomware.

El objetivo principal es evitar que los piratas informáticos continúen utilizando Cobalt Strike en ataques de ransomware dirigidos a hospitales y grupos de atención médica. Los atacantes de ransomware que utilizan copias crackeadas de Cobalt Strike se han relacionado con 68 visitas a organizaciones de atención médica en al menos 19 países. Los ataques han interrumpido los servicios críticos de atención al paciente y han exigido peajes financieros innecesarios a las organizaciones.

Explicación de la represión de la Huelga de cobalto

Los ataques han afectado los tiempos de respuesta para los resultados de diagnóstico, imágenes y laboratorio. Los ataques también han provocado la cancelación de procedimientos médicos y retrasos en la administración de tratamientos de quimioterapia. A largo plazo, estos tipos de ciberataques tienen un impacto negativo tanto en los hospitales como en los pacientes, y pueden aumentar la mortalidad tasa.

Más información crítica

El viernes 31 de marzoST, el Tribunal de Distrito de los Estados Unidos para el Distrito Este de Nueva York emitió una orden judicial que permite a Microsoft y a una organización asociada confiscar los nombres de dominio y eliminar las direcciones IP de los servidores que alojan versiones descifradas de Cobalt Strike.

La infraestructura maliciosa se eliminará de Internet con la ayuda de los equipos de preparación para emergencias informáticas (CERT) relevantes y los proveedores de servicios de Internet. Los derribos ya han comenzado.

"Interrumpir las copias legales agrietadas de Cobalt Strike dificultará significativamente la monetización de estas copias ilegales y ralentizará su uso en ataques cibernéticos, lo que obligará a los delincuentes a reevaluar y cambiar sus tácticas", Amy Hogan-Burney, declarado jefe de la Unidad de Delitos Digitales (DCU) de Microsoft.

Cómo sucedió

Anteriormente conocido como Help Systems, Fortra lanzó Cobalt Strike en 2012. El producto fue diseñado como una herramienta comercial legítima de prueba de penetración para los equipos rojos, que lo usarían para escanear la infraestructura en busca de vulnerabilidades.

Si bien el desarrollador examina cuidadosamente a los clientes y solo proporciona licencias para uso legal, con el tiempo, personas malintencionadas han obtenido y distribuido versiones descifradas del software. A su vez, Cobalt Strike se ha convertido en una herramienta de uso frecuente en ataques cibernéticos relacionados con ransomware y robo de datos.

Específicamente, los piratas informáticos utilizan la herramienta para tareas posteriores a la explotación después de desarrollar balizas diseñadas para proporcionarles acceso remoto persistente a dispositivos comprometidos. Esto permite a los piratas informáticos recopilar datos confidenciales o proceder con cargas útiles maliciosas adicionales.

Example of attack flow by threat actor DEV-0243. Image courtesy of Microsoft.
Ejemplo de flujo de ataque por parte del actor de amenazas DEV-0243. Imagen cortesía de Microsoft.

Infraestructura maliciosa 

Microsoft ha encontrado infraestructura maliciosa que aloja Cobalt Strike en todas las regiones del mundo, desde China hasta Estados Unidos y Rusia. Si bien se desconocen las identidades exactas de los delincuentes detrás de las operaciones, se cree que dos infames bandas de ransomware de habla rusa, Conti y LockBit, están involucradas.

Microsoft también ha observado que varios grupos de ciberataques respaldados por estados utilizan versiones de Cobalt Strike al servicio de los intereses de gobiernos extranjeros. La represión legal sigue a la identificación de Google Cloud de 34 diferentes versiones pirateadas de la herramienta Cobalt Strike en la naturaleza.

Microsoft adquiere 'sinkholing' y más

Con el fin de ayudar a prevenir futuros ataques cibernéticos relacionados, Microsoft dice que va a perseguir 'perforación de sumideros, 'lo que significa que redirigirá ciertos dominios maliciosos a Microsoft para que la empresa pueda identificar a las víctimas.

Microsoft ha aprovechado previamente órdenes civiles para incautar dominios y direcciones IP asociadas con malware específico, pero la reciente orden judicial representa la primera vez que Redmond intenta derribar una herramienta de piratería maliciosa a una escala tan masiva.

En la planificación para el mañana, Microsoft ya ha comenzado a investigar las herramientas de piratería a las que los ciberdelincuentes pueden recurrir una vez que Cobalt Strike se convierta en una opción no disponible.

"seek Vamos a buscar una orden judicial permanente porque creemos que esta actividad continuará They Ellos [los ciberdelincuentes] buscarán mover [sitios] de alojamiento para las versiones descifradas de Cobalt Strike porque es una herramienta efectiva para ellos. Y continuaremos persiguiéndolos", declaró Hogan-Burney.

Para obtener más información sobre ransomware, consulte CyberTalk.org cobertura pasada. Por último, para recibir más noticias, mejores prácticas y análisis de ciberseguridad de vanguardia, regístrese en el CyberTalk.org boletín de noticias.

Post Microsoft lidera la ofensiva global contra Cobalt Strike, protegiendo la atención médica del ransomware apareció primero en Charla cibernética.



>>Más