Microsoft’un Dijital Suçlar Birimi (DCU), siber güvenlik yazılım şirketi Fortra™ ve Sağlık Bilgi Paylaşım ve Analiz Merkezi (Sağlık-ISAC), siber suçlular tarafından fidye yazılımı da dahil olmak üzere kötü amaçlı yazılım dağıtmak için kullanılan Cobalt Strike’ın ve kötüye kullanılan Microsoft yazılımlarının kırık, eski kopyalarını bozmak için teknik ve yasal işlem yapıyor. Bu, DCU’nun geçmişteki çalışma biçiminde bir değişikliktir; kapsam daha geniştir ve operasyon daha karmaşıktır. Bir kötü amaçlı yazılım ailesinin komuta ve kontrolünü bozmak yerine, bu kez Fortra ile birlikte çalışarak Cobalt Strike’ın yasa dışı, eski kopyalarını siber suçlular tarafından artık kullanılmamaları için kaldırıyoruz.
Cobalt Strike’ın dünyanın dört bir yanında barındırılan kırık, eski kopyalarını kaldırmaya çalışırken ısrarcı olmamız gerekecek. Bu, Fortra’nın güvenlik araçlarının meşru kullanımını korumak için yaptığı önemli bir eylemdir. Microsoft da benzer şekilde ürün ve hizmetlerinin yasal kullanımına bağlıdır. Ayrıca, Fortra’nın bu eylem için bizimle ortak olmayı seçmesinin, DCU’nun son on yılda siber suçla mücadele konusundaki çalışmasının tanınması olduğuna inanıyoruz. Birlikte, siber suçluların yasa dışı dağıtım yöntemlerinin peşine düşmeye kararlıyız.
Cobalt Strike, Fortra tarafından sağlanan düşman simülasyonu için kullanılan meşru ve popüler bir sömürü sonrası araçtır. Bazen, yazılımın eski sürümleri suçlular tarafından kötüye kullanılmış ve değiştirilmiştir. Bu yasa dışı kopyalara “kırılmış” denir ve bunlara karşı yapılanlar gibi yıkıcı saldırılar başlatmak için kullanılmıştır. Kosta Rika Hükümeti ve İrlanda Sağlık Hizmetleri Yöneticisi. Microsoft yazılım geliştirme kitleri ve API’ler, kötü amaçlı yazılımın kodlanmasının yanı sıra suçlu kötü amaçlı yazılım dağıtım altyapısının bir parçası olarak kurbanları hedeflemek ve yanıltmak için kötüye kullanılır.
Cobalt Strike’ın kırık kopyalarıyla ilişkilendirilen veya bu kopyalar tarafından dağıtılan fidye yazılımı aileleri, dünya çapında 19’dan fazla ülkede sağlık kuruluşlarını etkileyen 68’den fazla fidye yazılımı saldırısıyla bağlantılıdır. Bu saldırılar, hastane sistemlerine milyonlarca dolarlık kurtarma ve onarım maliyetlerine, ayrıca gecikmiş teşhis, görüntüleme ve laboratuvar sonuçları, iptal edilen tıbbi prosedürler ve kemoterapi tedavilerinin uygulanmasındaki gecikmeler dahil olmak üzere kritik hasta bakım hizmetlerinde kesintilere neden oldu.
Kesinti bileşenleri ve stratejisi
31 Mart 2023’te ABD New York Doğu Bölgesi Bölge Mahkemesi, Microsoft, Fortra ve Health-ISAC’ın suçluların saldırılarını kolaylaştırmak için kullandıkları kötü amaçlı altyapıyı bozmalarına izin veren bir mahkeme emri yayınladı. Bunu yapmak, suçlu operatörler ile virüs bulaşmış kurban bilgisayarlar arasındaki bağlantıyı etkin bir şekilde keserek altyapıyı çevrimdışı duruma getirmeye yardımcı olan ilgili internet servis sağlayıcılarını (ISP’ler) ve bilgisayar acil durum hazırlık ekiplerini (CERT’ler) bilgilendirmemizi sağlar.
Fortra ve Microsoft’un araştırma çabaları, Health-ISAC, Fortra Siber İstihbarat Ekibi ve Microsoft Tehdit İstihbaratı ekibi verileri dahil olmak üzere küresel bir iş ortakları ağından yasal davamızı güçlendirmek için ek veriler ve görüşlerle birlikte tespit, analiz, telemetri ve tersine mühendislik içeriyordu. ve içgörüler. Eylemimiz yalnızca Cobalt Strike’ın ve güvenliği ihlal edilmiş Microsoft yazılımlarının kırılmış, eski kopyalarını bozmaya odaklanır.
Microsoft ayrıca, çok çeşitli siber suçlular tarafından kullanılan güvenlik araçlarının kötüye kullanımını hedeflemek için kötü amaçlı yazılımları ve ulus devlet operasyonlarını bozmak için başarıyla kullanılan yasal bir yöntemi genişletiyor. Cobalt Strike’ın kırılmış eski kopyalarını bozmak, bu yasadışı kopyalardan para kazanmayı önemli ölçüde engelleyecek ve siber saldırılarda kullanımlarını yavaşlatarak suçluları taktiklerini yeniden değerlendirmeye ve değiştirmeye zorlayacaktır. Bugünkü eylem, Microsoft ve Fortra’nın yazılım kodunun zarar vermek için değiştirilmiş ve suistimal edilmiş kötü niyetli kullanımına karşı telif hakkı iddialarını da içermektedir.
Siber suçlular tarafından kötüye kullanım
Fortra, katı müşteri inceleme uygulamaları da dahil olmak üzere, yazılımının kötüye kullanılmasını önlemek için önemli adımlar attı. Ancak suçluların, Cobalt Strike dahil güvenlik yazılımlarının eski sürümlerini çalarak, makinelere arka kapı erişimi sağlamak ve kötü amaçlı yazılım dağıtmak için kırık kopyalar oluşturduğu bilinmektedir. Fidye yazılımı operatörlerinin, Cobalt Strike’ın kırılmış kopyalarını kullandığını ve Microsoft yazılımlarını, Conti, LockBit ve diğer fidye yazılımlarını kötüye kullandığını gözlemledik. hizmet olarak fidye yazılımı iş modeli.
Tehdit aktörleri, güvenliği ihlal edilmiş ağlarda fidye yazılımı dağıtımlarını hızlandırmak için yazılımın kırılmış kopyalarını kullanır. Aşağıdaki diyagram, hedef odaklı kimlik avı ve ilk erişimi elde etmek için kötü amaçlı spam e-postalar ve Microsoft ve Fortra gibi şirketlerden çalınan kodun kötüye kullanılması dahil katkıda bulunan faktörleri vurgulayarak bir saldırı akışını göstermektedir.
Suç operasyonlarını yürütenlerin kesin kimlikleri şu anda bilinmemekle birlikte, Çin, Amerika Birleşik Devletleri ve Rusya da dahil olmak üzere dünya genelinde kötü amaçlı altyapı tespit ettik. Finansal motivasyona sahip siber suçlulara ek olarak, kırık kopyalar kullanan Rusya, Çin, Vietnam ve İran da dahil olmak üzere yabancı hükümetlerin çıkarları doğrultusunda hareket eden tehdit aktörlerini gözlemledik.
Tehdit aktörleriyle mücadeleye devam
Microsoft, Fortra ve Health-ISAC, ekosistemin güvenliğini artırma çabalarımıza aralıksız devam ediyor ve bu davada FBI Siber Bölümü, Ulusal Siber Araştırma Ortak Görev Gücü (NCIJTF) ve Europol’ün Avrupa Siber Suç Merkezi (EC3) ile işbirliği yapıyoruz. . Bu eylem, suçluların acil operasyonlarını etkileyecek olsa da, çabalarını yeniden canlandırmaya çalışacaklarını tamamen tahmin ediyoruz. Eylemimiz bu nedenle bir değil ve bitti. Devam eden yasal ve teknik işlemlerle Microsoft, Fortra ve Health-ISAC, ortaklarımızla birlikte Cobalt Strike’ın kırık kopyalarının kullanımı da dahil olmak üzere daha fazla suç operasyonunu izlemeye ve engellemek için harekete geçmeye devam edecek.
Fortra, yazılımlarının ve Cobalt Strike’ın kırık kopyalarının yasa dışı kullanımıyla mücadele etmek için önemli miktarda bilgi işlem ve insan kaynağı ayırarak, müşterilerin yazılım lisanslarının ele geçirilip geçirilmediğini belirlemelerine yardımcı olur. Cobalt Strike lisansları satın alan yasal güvenlik uygulayıcıları, Fortra tarafından incelenir ve kullanım kısıtlamaları ile ihracat kontrollerine uymaları gerekir. Fortra, Cobalt Strike’ın kırık kopyalarını bu web mülklerinde göründüğünde kaldırmak için sosyal medya ve dosya paylaşım siteleriyle aktif olarak çalışır. Suçlular tekniklerini adapte ettikçe Fortra, Cobalt Strike yazılımındaki güvenlik kontrollerini, Cobalt Strike’ın eski sürümlerini kırmak için kullanılan yöntemleri ortadan kaldıracak şekilde uyarladı.
2008’den beri yaptığımız gibi, Microsoft’un DCU’su, dünya genelinde bu yasaların yürürlükte olduğu çok sayıda ülkede müşterileri korumak için hukuk davası açarak kötü amaçlı yazılımların yayılmasını durdurma çabalarına devam edecek. Ayrıca mağdurları belirlemek ve düzeltmek için ISP’ler ve CERT’lerle çalışmaya devam edeceğiz.
kim kimdir ne zaman nasıl nelerdir nedir ne işe yarar tüm bilgiler
dünyadan ilginç ve değişik haberler en garip haberler burada