Deze samenwerking maakt deel uit van een bredere trend binnen de cybersecuritysector, waarbij particuliere bedrijven en wetshandhavingsinstanties samenwerken om het misbruik van offensieve beveiligingstools terug te dringen. Oorspronkelijk ontworpen voor penetratietesten en red teaming, wordt Cobalt Strike vaak misbruikt door ransomwaregroepen vanwege de moeilijkheid om het te detecteren. Beveiligingsteams hebben moeite om onderscheid te maken tussen legitiem gebruik en ongeoorloofd gebruik door dreigingsactoren.
Door gecoördineerde inspanningen hebben Fortra, Microsoft en Health-ISAC met succes meer dan 200 domeinen in beslag genomen en uitgeschakeld die verband houden met kwaadaardige Cobalt Strike-activiteiten. De meeste van deze acties vonden plaats onder Amerikaanse jurisdictie en werden uitgevoerd via het Amerikaanse rechtssysteem. Bovendien heeft de samenwerking de zogenaamde “dwell time” verkort, oftewel de tijd tussen de identificatie van een ongeoorloofde Cobalt Strike-server en de uitschakeling ervan. In de VS is deze tijd teruggebracht tot minder dan een week, terwijl dit wereldwijd minder dan twee weken bedraagt.
Fortra schrijft deze vooruitgang toe aan verbeterde processen en automatisering, die de identificatie, verificatie en verwijdering van kwaadaardige servers via samenwerking met hostingproviders stroomlijnen. Deze inspanningen bouwen voort op eerdere handhavingsacties, waaronder Operatie Morpheus, een internationale wetshandhavingsactie gericht op IP-adressen die betrokken waren bij het misbruik van Cobalt Strike. Deze operatie identificeerde 690 IP’s in 27 landen en schakelde er met succes 593 uit. Bovendien publiceerde Google in 2022 een set YARA-regels om organisaties te helpen bij het detecteren van ongeoorloofde versies van Cobalt Strike die door aanvallers worden gebruikt.
De voortdurende strijd tegen het misbruik van Cobalt Strike benadrukt het belang van samenwerking binnen de sector en snelle responsmechanismen. Door detectietechnieken te verbeteren en partnerschappen te versterken, kunnen cybersecurityprofessionals de risico’s verkleinen die ontstaan door tegenstanders die legitieme beveiligingstools misbruiken voor kwaadaardige doeleinden.
Source: Cybersecurity Dive
De European Cyber Intelligence Foundation is een non-profit denktank gespecialiseerd in inlichtingen en cybersecurity en biedt adviesdiensten aan overheidsinstanties. Om potentiële bedreigingen te beperken, is het belangrijk om aanvullende cybersecuritymaatregelen te implementeren met behulp van een betrouwbare partner zoals INFRA www.infrascan.net, of je kunt zelf proberen met check.website.