1. Portscanner en ligne
  2. Dernières nouvelles et articles sur la cybersécurité
  3. Microsoft mène une répression mondiale contre Cobalt Strike, protégeant les soins de santé contre les ransomwares

Microsoft mène une répression mondiale contre Cobalt Strike, protégeant les soins de santé contre les ransomwares

RÉSUMÉ ANALYTIQUE:

Microsoft, le Health Information Sharing and Analysis Center (Health-ISAC) et d'autres partenaires ont annoncé une vaste répression technique et juridique contre les serveurs hébergeant des copies "fissurées" de Cobalt Strike; un outil couramment déployé par les cybercriminels pour distribuer des logiciels malveillants, y compris des ransomwares.

L'objectif principal est d'empêcher les pirates informatiques de continuer à utiliser Cobalt Strike dans des attaques de ransomware ciblant des hôpitaux et des groupes de soins de santé. Les attaquants ransomware utilisant des copies fissurées de Cobalt Strike ont été liés à 68 attaques sur des établissements de santé dans au moins 19 pays. Les attaques ont perturbé les services essentiels de soins aux patients et imposé des péages financiers inutiles aux organisations.

La répression de la grève du Cobalt expliquée

Les attaques ont affecté les délais d'exécution des diagnostics, de l'imagerie et des résultats de laboratoire. Les attaques ont également entraîné l'annulation des procédures médicales et des retards dans la livraison des traitements de chimiothérapie. À long terme, ces types de cyberattaques ont des impacts négatifs sur les hôpitaux et les patients, et peuvent augmenter la mortalité taux.

Des informations plus critiques

Le Vendredi 31 marsst, le Tribunal de district américain du district est de New York a rendu une ordonnance du tribunal autorisant Microsoft et une organisation partenaire à saisir les noms de domaine et à supprimer les adresses IP des serveurs hébergeant des versions fissurées de Cobalt Strike.

L'infrastructure malveillante sera supprimée d'Internet avec l'aide des équipes de préparation aux urgences informatiques (CERT) et des fournisseurs de services Internet concernés. Les démontages ont déjà commencé.

"Perturber les copies légales fissurées de Cobalt Strike entravera considérablement la monétisation de ces copies illégales et ralentira leur utilisation dans les cyberattaques, obligeant les criminels à réévaluer et à changer leurs tactiques", Amy Hogan-Burney, énoncer chef de l'Unité des crimes numériques de Microsoft (DCU).

Comment c'est arrivé

Anciennement connu sous le nom de Help Systems, Fortra a publié Cobalt Strike en 2012. Le produit a été conçu comme un outil de test de stylo commercial légitime pour les équipes rouges, qui l'utiliseraient pour analyser l'infrastructure à la recherche de vulnérabilités.

Alors que le développeur examine attentivement les clients et ne fournit des licences que pour une utilisation légale, au fil du temps, des personnes malveillantes ont obtenu et distribué des versions fissurées du logiciel. À son tour, Cobalt Strike est devenu un outil fréquemment utilisé dans les cyberattaques liées aux ransomwares et au vol de données.

Plus précisément, les pirates informatiques utilisent l'outil pour des tâches de post-exploitation après avoir développé des balises conçues pour leur fournir un accès distant persistant aux appareils compromis. Cela permet aux pirates de récolter des données sensibles ou de procéder à d'autres charges utiles malveillantes.

Example of attack flow by threat actor DEV-0243. Image courtesy of Microsoft.
Exemple de flux d'attaque par l'acteur de menace DEV-0243. Image reproduite avec l'aimable autorisation de Microsoft.

Infrastructure malveillante 

Microsoft a découvert une infrastructure malveillante hébergeant Cobalt Strike dans toutes les régions du monde, de la Chine aux États-Unis en passant par la Russie. Bien que l'identité exacte des criminels à l'origine des opérations reste inconnue, deux tristement célèbres gangs de ransomwares russophones, Conti et LockBit, seraient impliqués.

Microsoft a également observé plusieurs groupes de cyberattaques soutenus par des États utilisant des versions de Cobalt Strike tout en servant les intérêts de gouvernements étrangers. La répression juridique fait suite à l'identification de Google Cloud de 34 différentes versions piratées de l'outil Cobalt Strike dans la nature.

Microsoft s'attaque au "sinkholing" et plus encore

Afin d'aider à prévenir de futures cyberattaques connexes, Microsoft dit qu'il va poursuivre"goudronnage, 'ce qui signifie qu'il redirigera certains domaines malveillants vers Microsoft afin que l'entreprise puisse identifier les victimes.

Microsoft a déjà fait appel à des ordonnances civiles pour saisir des domaines et des adresses IP associés à des logiciels malveillants spécifiques, mais la récente ordonnance du tribunal représente la première fois que Redmond tente de supprimer un outil de piratage malveillant à une échelle aussi massive.

En planifiant pour demain, Microsoft a déjà commencé à se pencher sur les outils de piratage vers lesquels les cybercriminels pourraient se tourner une fois que Cobalt Strike deviendra une option non envisageable.

“We Nous allons demander une injonction permanente parce que nous pensons que cette activité se poursuivra They Ils [les cybercriminels] chercheront à déplacer l'hébergement [des sites] pour les versions fissurées de Cobalt Strike car c'est un outil efficace pour eux. Et nous continuerons à les chasser”, a déclaré Hogan-Burney.

Pour plus d'informations sur les ransomwares, veuillez consulter CyberTalk.org couverture passée de. Enfin, pour recevoir davantage d'actualités, de meilleures pratiques et d'analyses de pointe en matière de cybersécurité, veuillez vous inscrire au CyberTalk.org bulletin d'information.

Post Microsoft mène une répression mondiale contre Cobalt Strike, protégeant les soins de santé contre les ransomwares apparu en premier sur CyberTalk.



>>Plus