Ce partenariat s’inscrit dans une tendance plus large du secteur de la cybersécurité, où la coopération entre les entreprises privées et les agences de sécurité vise à limiter l’utilisation abusive des outils de sécurité offensifs. Conçu à l’origine pour les tests de pénétration et les exercices de red teaming, Cobalt Strike est souvent détourné par des groupes de ransomware en raison de sa capacité à échapper à la détection. Les équipes de sécurité peinent souvent à distinguer son usage légitime de son exploitation illégitime par des acteurs malveillants.
Grâce à des efforts coordonnés, Fortra, Microsoft et Health-ISAC ont réussi à saisir et à neutraliser plus de 200 domaines associés à des activités malveillantes utilisant Cobalt Strike. La plupart de ces interventions ont eu lieu sous juridiction américaine, facilitée par le système judiciaire des États-Unis. De plus, cette initiative a réduit le “dwell time”, c’est-à-dire le délai entre l’identification d’un serveur Cobalt Strike non autorisé et sa suppression. Aux États-Unis, ce délai est passé à moins d’une semaine, tandis qu’au niveau mondial, il est désormais inférieur à deux semaines.
Fortra attribue ces améliorations à l’optimisation des processus et à l’automatisation, ce qui a permis d’accélérer l’identification, la vérification et la suppression des serveurs malveillants en collaboration avec les fournisseurs d’hébergement. Ces efforts s’inscrivent dans la continuité d’opérations antérieures, notamment l’opération Morpheus, une action internationale contre les adresses IP impliquées dans l’utilisation illégale de Cobalt Strike. Cette opération a identifié 690 adresses IP dans 27 pays et a réussi à en supprimer 593. Par ailleurs, en 2022, Google a publié un ensemble de règles YARA pour aider les organisations à détecter les versions illicites de Cobalt Strike utilisées par les attaquants.
La lutte contre l’utilisation illégale de Cobalt Strike souligne l’importance d’une coopération sectorielle à grande échelle et de mécanismes de réponse rapide. En renforçant les techniques de détection et en consolidant les partenariats, les experts en cybersécurité peuvent atténuer les risques posés par les adversaires exploitant des outils de sécurité légitimes à des fins malveillantes.
Source: Cybersecurity Dive
La European Cyber Intelligence Foundation est un think tank à but non lucratif spécialisé dans le renseignement et la cybersécurité, offrant des services de conseil aux entités gouvernementales. Pour atténuer les menaces potentielles, il est important de mettre en œuvre des mesures supplémentaires de cybersécurité avec l’aide d’un partenaire de confiance comme INFRA www.infrascan.net, ou vous pouvez essayer vous-même en utilisant check.website.