Fortra und Microsoft Reduzieren den Missbrauch von Cobalt Strike um 80 %

Fortras Cobalt Strike war lange Zeit ein bevorzugtes Werkzeug für Cyberkriminelle und staatliche Bedrohungsakteure, die häufig manipulierte Versionen nutzen, um Command-and-Control-Kommunikation aufzubauen und dauerhaft Zugriff auf kompromittierte Systeme zu behalten. Eine Zusammenarbeit zwischen Fortra, der Digital Crimes Unit (DCU) von Microsoft und dem Health Information Sharing and Analysis Center (Health-ISAC) hat jedoch erheblich zur Reduzierung unautorisierter Kopien beigetragen. Laut Fortra hat diese Initiative dazu geführt, dass die bösartige Nutzung von Cobalt Strike um 80 % gesenkt wurde.

Diese Partnerschaft ist Teil eines umfassenderen Trends in der Cybersicherheitsbranche, bei dem Unternehmen aus dem Privatsektor und Strafverfolgungsbehörden zusammenarbeiten, um den Missbrauch offensiver Sicherheitstools einzudämmen. Cobalt Strike, ursprünglich für Penetrationstests und Red-Teaming-Übungen entwickelt, wird häufig von Ransomware-Gruppen missbraucht, da es schwer zu erkennen ist. Sicherheitsteams stehen vor der Herausforderung, zwischen legitimer Nutzung und illegalem Einsatz durch Bedrohungsakteure zu unterscheiden.

Durch koordinierte Maßnahmen haben Fortra, Microsoft und Health-ISAC mehr als 200 Domains beschlagnahmt und deaktiviert, die mit bösartigem Cobalt Strike in Verbindung stehen. Die meisten dieser Abschaltungen erfolgten unter US-Gerichtsbarkeit und wurden über das amerikanische Rechtssystem abgewickelt. Zudem wurde die sogenannte „Dwell Time“ – die Zeit zwischen der Identifizierung eines nicht autorisierten Cobalt Strike-Servers und seiner Deaktivierung – deutlich reduziert. In den USA beträgt diese Zeit nun weniger als eine Woche, weltweit unter zwei Wochen.

Fortra führt diese Fortschritte auf verbesserte Prozesse und Automatisierung zurück, die die Identifikation, Verifizierung und Entfernung schädlicher Server durch die Zusammenarbeit mit Hosting-Anbietern effizienter machen. Diese Bemühungen bauen auf früheren Durchsetzungsmaßnahmen auf, darunter Operation Morpheus, eine internationale Strafverfolgungsaktion gegen IP-Adressen, die für den Missbrauch von Cobalt Strike genutzt wurden. Die Operation identifizierte 690 IPs in 27 Ländern und schaltete 593 davon erfolgreich aus. Zudem veröffentlichte Google 2022 ein Set von YARA-Regeln, um Unternehmen dabei zu helfen, illegale Versionen von Cobalt Strike zu erkennen.

Die anhaltende Bekämpfung des missbräuchlichen Einsatzes von Cobalt Strike unterstreicht die Bedeutung branchenweiter Zusammenarbeit und schneller Reaktionsmechanismen. Durch verbesserte Erkennungstechniken und stärkere Partnerschaften können Cybersicherheitsexperten das Risiko verringern, das durch Gegner entsteht, die legitime Sicherheitstools für bösartige Zwecke missbrauchen.

Source: Cybersecurity Dive

Die European Cyber Intelligence Foundation ist ein gemeinnütziger Think Tank, der sich auf Geheimdienste und Cybersicherheit spezialisiert hat und Beratungsdienste für Regierungsbehörden anbietet. Um potenzielle Bedrohungen zu mindern, ist es wichtig, zusätzliche Cybersicherheitsmaßnahmen mit Hilfe eines vertrauenswürdigen Partners wie INFRA www.infrascan.net umzusetzen, oder Sie können es selbst versuchen mit check.website.