Esta alianza forma parte de una tendencia más amplia en la industria de la ciberseguridad, donde la cooperación entre el sector privado y las agencias de seguridad busca frenar el uso indebido de herramientas de seguridad ofensivas. Cobalt Strike, diseñado originalmente para pruebas de penetración y ejercicios de red teaming, es frecuentemente explotado por grupos de ransomware debido a su capacidad para evadir la detección. Los equipos de seguridad a menudo tienen dificultades para distinguir entre su uso legítimo y su implementación no autorizada por actores maliciosos.
A través de esfuerzos coordinados, Fortra, Microsoft y Health-ISAC han logrado incautar y deshabilitar más de 200 dominios vinculados a actividades maliciosas con Cobalt Strike. La mayoría de estas acciones se llevaron a cabo bajo la jurisdicción de EE.UU., facilitadas por el sistema judicial estadounidense. Además, la iniciativa ha reducido el “dwell time”, es decir, el tiempo entre la identificación de un servidor Cobalt Strike no autorizado y su eliminación. En EE.UU., este tiempo se ha reducido a menos de una semana, mientras que a nivel global ahora toma menos de dos semanas desactivar estas amenazas.
Fortra atribuye estos avances a la mejora de los procesos y la automatización, lo que ha permitido agilizar la identificación, verificación y eliminación de servidores maliciosos mediante la cooperación con proveedores de hosting. Estas acciones se suman a operaciones previas, como la Operación Morpheus, una acción internacional que apuntó a direcciones IP asociadas con el abuso de Cobalt Strike. Esta operación identificó 690 direcciones IP en 27 países y logró eliminar 593. Además, en 2022, Google publicó un conjunto de reglas YARA para ayudar a las organizaciones a detectar versiones no autorizadas de Cobalt Strike utilizadas por atacantes.
La lucha continua contra el uso ilícito de Cobalt Strike destaca la importancia de la colaboración en toda la industria y la necesidad de respuestas rápidas. Al mejorar las técnicas de detección y fortalecer alianzas estratégicas, los defensores de la ciberseguridad pueden mitigar los riesgos derivados de la explotación de herramientas de seguridad legítimas por parte de actores malintencionados.
Source: Cybersecurity Dive
La European Cyber Intelligence Foundation es un think tank sin fines de lucro especializado en inteligencia y ciberseguridad, que ofrece servicios de consultoría a entidades gubernamentales. Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net, o puedes intentarlo tú mismo usando check.website.