Microsoft, Fortra dhe Qendra e Shkëmbimit dhe Analizës së Informacionit Shëndetësor kërkuan dhe morën autorizim nga gjykata e Nju Jorkut për të çmontuar një rrjet serverësh që strehonin kopje pirate të Cobalt Strike, softuer i njohur (legjitim) që përdoret shpesh për të shpërndarë malware. Mjeti u shfrytëzua nga grupi Conti për të kryer sulmin ransomware kundër qeverisë së Kosta Rikës.
Mbyllen serverët në të gjithë botën
Microsoft thekson një ndryshim të rëndësishëm në mënyrën se si Njësia e saj e Krimeve Dixhitale kërkon të kundërshtojë aktivitetet e kriminelëve kibernetikë. Në vend të çmontimit të serverëve C2 (komandë dhe kontroll), u zbatua një masë parandaluese më komplekse, përkatësisht bllokimi i domeneve të përdorura për shpërndarjen e kopjeve pirate të Cobalt Strike, mjeti i simulimit të kundërshtarit të Fortra-s. Siç mund ta shihni në imazh, serverët janë në të gjithë botën.
Infrastruktura e përdorur për shpërndarjen e kopjeve të paligjshme të Cobalt Strike u zbatua duke abuzuar me softuerin e Microsoft. Versionet pirate të mjetit janë përdorur për të kryer mbi 68 sulme ransomware në mbi 19 vende. Mes objektivave ka edhe spitale, ndaj pasojat mund të jenë tragjike.
Për të çmontuar rrjetin e serverëve dhe për të ndërprerë lidhjen midis kriminelëve kibernetikë dhe kompjuterëve të viktimave, u kërkua ndihmë nga ISP dhe CERT në vende të ndryshme. Versionet e fundit të Cobalt Strike janë më të vështira për t’u goditur, kështu që sulmet kryhen me versione më të vjetra. Cobalt Strike përdoret për të ruajtur qëndrueshmërinë nëpërmjet aksesit në distancë, ku të dhënat vidhen dhe instalohen malware të tjerë.
Discussion about this post