Una coalición internacional de fuerzas del orden de varios países ha llevado a cabo una acción global que ha resultado en el desmantelamiento de cerca de 600 servidores que llevaban más de una década siendo utilizados ilegalmente por cibercriminales y pertenecían a la infraestructura de Cobalt Strike, una herramienta de ciberseguridad desarrollada por Fortra (anteriormente Help Systems).
Esta acción global, que se desarrolló la semana pasada (entre el 24 y el 28 de junio), ha sido coordinada desde la sede de Europol y culmina una compleja investigación iniciada en 2021, conocida como Operación Morpheus. Esta investigación ha estado liderada por la Agencia Nacional contra el Crimen del Reino Unido (NCA) y ha contado con la implicación de las autoridades policiales de Australia, Canadá, Alemania, Países Bajos, Polonia y Estados Unidos.
Tanto la NCA, en primera instancia, como Europol han emitido comunicados para informar sobre esta operación, que también ha contado con la cooperación de Fortra y de otras empresas privadas, como BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch y The Shadowserver Foundation.
Cobalt Strike, de herramienta de ciberseguridad a arma cibernética
Lanzada en 2012, Cobalt Strike es una herramienta diseñada para ayudar a los expertos en ciberseguridad a realizar pruebas de penetración y simulación de ataques que les permitan identificar debilidades en sus sistemas y mejorar su respuesta ante posibles incidentes. Sin embargo, como ya advirtieron anteriormente Google y Microsoft, los hackers han obtenido versiones antiguas de Cobalt Strike y han creado copias pirateadas de la herramienta, que ha pasado a ser un arma con "una amplia gama de capacidades de ataque", indica Europol.
"Desde mediados de la década de 2010, las versiones pirateadas y sin licencia del software, descargado por ciberdelincuentes en mercados ilegales y en la dark web, han ido adquiriendo la reputación de ser la herramienta de intrusión de red preferida por quienes buscan lanzar un ciberataque, lo que les permite implementar ransomware a gran velocidad y a escala", señala la NCA, agregando que quienes adoptan las versiones ilegales de este programa "requieren niveles bajos de sofisticación y dinero", debido a la variedad de herramientas, guías de capacitación gratuitas y videos que vienen con las versiones legales de Cobalt Strike.
Asimismo, la NCA explica que los ciberdelincuentes suelen distribuir las versiones ilícitas de Cobalt Strike a través de correos electrónicos de phishing selectivo o spam, que tratan de engañar a la víctima para que pulse en enlaces o abra archivos adjuntos maliciosos. Si consiguen su objetivo, se instala una "baliza" de Cobalt Strike que otorga acceso remoto al atacante, lo que le permite crear un perfil del host infectado, descargar malware o ransomware y robar datos para luego extorsionar a la víctima.
"Se ha identificado el uso de versiones ilícitas de Cobalt Strike en algunos de los mayores incidentes cibernéticos de los últimos tiempos. También se ha identificado su uso en múltiples investigaciones de malware y ransomware, incluidas las de los ataques a RYUK, Trickbot y Conti", apunta el organismo británico.
La acción global: 593 servidores eliminados con el apoyo del sector privado
La acción global contra la explotación cibercriminal de Cobalt Strike se ha llevado a cabo en dos fases principales. En la primera, las fuerzas del orden identificaron 690 direcciones IP que albergaban servidores ilegales de la herramienta y estaban vinculadas a 129 proveedores de servicios online de 27 países, así como una serie de nombres de dominio que formaban parte de la infraestructura de ataque utilizada por los ciberdelincuentes.
En la siguiente fase de la operación, esta información se puso en conocimiento de los proveedores online, que se unieron a las fuerzas del orden para concluir la acción con la eliminación de 593 dominios, cerca del 86% de los 690 que habían sido detectados.
"Acciones internacionales como esta son la forma más eficaz de debilitar a los cibercriminales más dañinos, eliminando las herramientas y los servicios que sustentan sus operaciones", ha afirmado el director de liderazgo de amenazas de la NCA, Paul Foster.
Europol, por su parte, ha destacado el papel que ha jugado el sector privado, cuya cooperación asegura ha sido fundamental para el éxito de esta acción disruptiva. "Fortra ha tomado medidas importantes para evitar el abuso de su software y se ha asociado con las fuerzas del orden a lo largo de esta investigación para proteger el uso legítimo de sus herramientas", subraya Europol, que igualmente valora la participación de las otras empresas involucradas en la operación, las cuales "implementaron capacidades mejoradas de escaneo, telemetría y análisis para ayudar a identificar actividades maliciosas y su uso por parte de cibercriminales".
"La disrupción no termina aquí. Las fuerzas de seguridad seguirán vigilando y llevando a cabo acciones similares mientras los delincuentes sigan haciendo un uso indebido de las versiones antiguas de la herramienta", remata Europol.
⚠️Law enforcement teamed up with the private sector to stop criminals abusing Cobalt Strike to carry out attacks.
— Europol (@Europol) July 3, 2024
An action led by @NCA_UK & coordinated from Europol HQ resulted in the takedown of 593 IP addresses linked to criminal activity.
Details ⤵️https://t.co/yrqiri7G4m pic.twitter.com/jJzrgOPh9t