A Europol coordenou uma ação conjunta de aplicação da lei conhecida como Operação Morpheus, que levou à derrubada de quase 600 servidores Cobalt Strike usados por criminosos cibernéticos para se infiltrar nas redes das vítimas.
Durante uma única semana no final de junho, as autoridades policiais identificaram endereços IP conhecidos associados a atividades criminosas e nomes de domínio que faziam parte da infraestrutura de ataque usada por grupos criminosos.
Na próxima etapa da operação, os provedores de serviços online receberam as informações coletadas para desabilitar versões não licenciadas da ferramenta.
A Operação Morpheus envolveu autoridades policiais da Austrália, Canadá, Alemanha, Holanda, Polônia e Estados Unidos e foi liderada pela Agência Nacional de Crimes do Reino Unido.
Parceiros da indústria privada, como BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch e The Shadowserver Foundation também ofereceram seu apoio durante esta operação internacional de aplicação da lei, fornecendo ajuda por meio de seus recursos aprimorados de varredura, telemetria e análise para identificar servidores Cobalt Strike usados em campanhas de cibercriminosos.
Esta ação disruptiva coordenada pela Europol é o culminar de uma investigação complexa que começou há três anos, em 2021.
Usado em ataques de ransomware e campanhas de ciberespionagem
Em abril de 2023, a Microsoft, a Fortra e o Health Information Sharing and Analysis Center (Health-ISAC) também anunciaram uma ampla repressão legal aos servidores que hospedam cópias crackeadas do Cobalt Strike, uma das principais ferramentas de hacking dos cibercriminosos.
O Cobalt Strike foi lançado pela Fortra (antiga Help Systems) há mais de uma década como uma ferramenta legítima de teste de penetração comercial para equipes vermelhas escanearem a infraestrutura de rede em busca de vulnerabilidades de segurança. No entanto, os agentes de ameaças obtiveram cópias crackeadas do software, tornando-o uma das ferramentas mais amplamente usadas em roubo de dados e ataques de ransomware.
Os invasores usam o Cobalt Strike durante o estágio de ataque pós-exploração para implantar beacons que fornecem acesso remoto persistente a redes comprometidas e ajudam a roubar dados confidenciais ou lançar cargas maliciosas adicionais.
A Microsoft diz que vários agentes de ameaças apoiados por estados e grupos de hackers estão utilizando versões crackeadas do Cobalt Strike enquanto operam em nome de governos estrangeiros, como Rússia, China, Vietnã e Irã.
Em novembro de 2022, a equipe do Google Cloud Threat Intelligence também disponibilizou de código aberto uma coleção de indicadores de comprometimento (IOCs) e 165 regras YARA para ajudar os defensores a detectar componentes do Cobalt Strike em suas redes.