Microsoft, Fortra en de non-profitorganisatie Health-ISAC pakken gezamenlijk aanbieders van illegale Cobalt Strike-kopieën aan. Dit om meer misbruik van de legale tool te voorkomen.
De techbedrijven en de Amerikaanse non-profitorganisatie hebben voor de actie toestemming van een Amerikaanse rechter. Doel van de actie is wereldwijd illegale kopieën van oude versies van de tool op te sporen en offline te halen. Zowel Microsoft als Fortra willen dat hun (security) tools en diensten op een legitieme manier worden gebruikt.
Juridische acties
Meer specifiek kunnen de bedrijven en de non-profit nu domeinnamen in beslag nemen en de IP-adressen offline halen van servers die de illegale versies hosten. Technieken die zij daarvoor gebruiken zijn detectie, analyse, telemetrie en reverse engineering. Dit in combinatie met andere data en inzichten.
Ook zal worden samengewerkt met relevante CERT’s en internetaanbieders. De eerste acties zijn al gestart.
Cobalt Strike
Cobalt Strike is in 2012 door Fortra ontwikkeld als een legitiem product voor pentesten. Red teams kunnen hiermee de infrastructuur van bedrijven scannen op kwetsbaarheden.
De tool wordt ook misbruikt door cybercriminelen voor het scannen van netwerken op kwetsbaarheden. Vooral voor een meer persistent-toegang tot getroffen infrastructuren. Bijvoorbeeld voor het ‘oogsten’ van gevoelige data of het verspreiden van andere malware als ransomware.
Ook zogenoemde statesponsored cybercriminelen misbruiken de tool. Kwaadaardig gebruik van Cobalt Strike wordt vaak aangetroffen in China en Rusland, maar ook in Vietnam en Iran.
Lees ook: ‘Pentesttool Cobalt Strike kwetsbaar voor DoS-aanvallen’