Microsoft a déclaré s’être associé à Fortra et au Health Information Sharing and Analysis Center (Health-ISAC) pour lutter contre l’abus de Cobalt Strike par les cybercriminels afin de distribuer des logiciels malveillants, y compris des ransomwares.
À cette fin, l’unité des crimes numériques (DCU) du géant de la technologie a révélé qu’elle avait obtenu un ordonnance du tribunal aux États-Unis pour « supprimer les anciennes copies illégales de Cobalt Strike afin qu’elles ne puissent plus être utilisées par les cybercriminels ».
Alors que Cobalt Strike, développé et maintenu par Fortra (anciennement HelpSystems), est un outil de post-exploitation légitime utilisé pour la simulation d’adversaires, des versions illégales piratées du logiciel ont été militarisées par des acteurs de la menace au fil des ans.
Les acteurs du ransomware, en particulier, ont tiré parti de Cobalt Strike après avoir obtenu un accès initial à un environnement cible pour élever les privilèges, se déplacer latéralement sur le réseau et déployer des logiciels malveillants de cryptage de fichiers.
« Les familles de ransomwares associées ou déployées par des copies piratées de Cobalt Strike ont été liées à plus de 68 attaques de ransomwares affectant des organisations de santé dans plus de 19 pays à travers le monde », a déclaré Amy Hogan-Burney, directrice générale de DCU, a dit.
En perturbant l’utilisation des copies héritées de Cobalt Strike et des logiciels Microsoft compromis, l’objectif est d’entraver les attaques et de forcer les adversaires à repenser leurs tactiques, a ajouté la société.
Apprenez à sécuriser le périmètre d’identité – Stratégies éprouvées
Améliorez la sécurité de votre entreprise grâce à notre prochain webinaire sur la cybersécurité dirigé par des experts : Explorez les stratégies de périmètre d’identité !
Ne manquez rien – Réservez votre siège !
Redmond a en outre noté l’utilisation abusive de Cobalt Strike par des groupes d’États-nations dont les opérations s’alignent sur celles de la Russie, de la Chine, du Vietnam et de l’Iran, ajoutant qu’il a détecté une infrastructure malveillante hébergeant Cobalt Strike à travers le monde, en comptant la Chine, les États-Unis et la Russie.
La répression légale intervient des mois après que Google Cloud a identifié 34 versions piratées différentes de l’outil Cobalt Strike dans la nature dans le but de « rendre plus difficile l’abus par les méchants ».