微软的数字犯罪部门(DCU)、Fortra和健康信息共享和分析中心(Health-ISAC)正在采取技术和法律行动,以破坏犯罪分子用来促进其Cobalt Strike勒索软件攻击的恶意基础设施。
地方法院发布了一项法院命令,允许他们这样做。该命令允许两家公司通知相关的互联网服务提供商(ISP)和计算机应急准备小组(CERT),他们协助使基础设施脱机,有效地切断了犯罪运营商与受感染的受害者计算机之间的联系。
在宣布与Fortra合作的博客文章中,微软解释了网络犯罪分子如何经常利用合法和流行的安全工具对Cobalt Strike发起恶意攻击,例如勒索软件,这可能会对组织和个人造成重大损害和破坏。
“Cobalt Strike是一种合法且流行的开发后工具,用于Fortra提供的对手模拟。有时,旧版本的软件被犯罪分子滥用和更改。这些非法副本被称为“破解”,并被用来发动破坏性攻击,例如针对哥斯达黎加政府和爱尔兰卫生服务执行机构的攻击。
“微软软件开发工具包和API被滥用,作为恶意软件编码的一部分以及犯罪恶意软件分发基础设施,以瞄准和误导受害者。
反击钴打击勒索软件攻击
Microsoft 软件开发工具包和 API 也被网络犯罪分子滥用,作为恶意软件编码和分发基础结构的一部分,以瞄准和误导受害者。与Cobalt Strike的破解副本相关或部署的勒索软件系列与超过68次勒索软件攻击有关,这些攻击影响了全球超过19个国家的医疗机构。
这一次,他们没有破坏恶意软件家族的命令和控制,而是与Fortra合作,删除Cobalt Strike的非法遗留副本,以便网络犯罪分子不再使用它们。他们需要坚持不懈,努力取缔世界各地托管的Cobalt Strike的破解副本。
这是Fortra保护其安全工具合法使用的重要行动。微软同样致力于合法使用其产品和服务。他们还认为,Fortra选择与他们合作开展这一行动是对DCU过去十年打击网络犯罪工作的认可。
正文完