Questo sforzo rientra in una più ampia tendenza del settore della cybersecurity, in cui aziende private e forze dell’ordine uniscono le forze per contrastare l’utilizzo improprio degli strumenti offensivi di sicurezza. Originariamente creato per attività legittime come i penetration test e le esercitazioni dei red team, Cobalt Strike è stato spesso sfruttato da gruppi ransomware per la sua capacità di aggirare i sistemi di rilevamento. I team di sicurezza, infatti, si trovano spesso in difficoltà nel distinguere l’uso legittimo da quello malevolo.
Attraverso un intervento coordinato, Fortra, Microsoft e Health-ISAC hanno sequestrato e reso inutilizzabili oltre 200 domini associati all’uso improprio di Cobalt Strike. Gran parte di queste operazioni è avvenuta sotto la giurisdizione degli Stati Uniti, grazie al supporto del sistema giudiziario americano. Questo approccio ha inoltre ridotto notevolmente il “dwell time”, ovvero il tempo necessario per identificare e rimuovere server compromessi: ora è inferiore a una settimana negli Stati Uniti e meno di due settimane a livello globale.
Fortra attribuisce questi risultati positivi all’implementazione di processi avanzati e soluzioni automatizzate che facilitano l’identificazione, la verifica e la disattivazione dei server malevoli, in stretta collaborazione con i provider di servizi di hosting. Questi interventi si basano anche su precedenti operazioni, come l’Operazione Morpheus, una campagna internazionale delle forze dell’ordine che ha preso di mira indirizzi IP coinvolti nell’abuso di Cobalt Strike. Tale operazione ha identificato 690 indirizzi IP compromessi in 27 paesi, neutralizzandone con successo 593. Nel 2022, inoltre, Google ha rilasciato regole YARA per facilitare il rilevamento delle versioni non autorizzate di Cobalt Strike.
La continua lotta contro l’uso illegale di strumenti come Cobalt Strike evidenzia l’importanza cruciale della collaborazione estesa e dei meccanismi di risposta rapida. Rafforzando le capacità di rilevamento e consolidando le partnership, il settore della cybersecurity può efficacemente mitigare le minacce poste da avversari che sfruttano strumenti di sicurezza legittimi per scopi criminali.
Source: Cybersecurity Dive
La European Cyber Intelligence Foundation è un think tank no-profit specializzato in intelligence e sicurezza informatica, che offre servizi di consulenza agli enti governativi. Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net, oppure puoi provare tu stesso utilizzando check.website.