Microsoft et Fortra obtiennent une décision de justice pour perturber Cobalt Strike

Microsoft prend des mesures techniques et juridiques contre l’utilisation malveillante de Cobalt Strike, un outil de red teaming couramment déployé dans les attaques de ransomware.

Amy Hogan-Burney, directrice générale de la Digital Crimes Unit de Microsoft, a détaillé dans un billet de blog les derniers efforts du secteur privé pour réprimer ceux qui utilisent illégalement Cobalt Strike pour mener des cyberattaques. Cobalt Strike a été initialement lancé en 2012 en tant que plateforme de simulation d'adversaires et acquis par le fournisseur de logiciels Fortra (ex-HelpSystems) en 2020. 

Alors que le gouvernement américain et les grandes organisations utilisent cet outil dit de red teaming pour tester les défenses de leur système d’information, les cybercriminels volent souvent d'anciennes versions du logiciel et les modifient à des fins malveillantes. 

Amy Hogan-Burney indique que des instances illégales ou « craquées » de Cobalt Strike avaient déjà été utilisées dans des attaques contre le gouvernement du Costa Rica et l'Irish Health Service Executive (HSE). Des attaques lancées par le groupe Conti. Les copies craquées de Cobalt Strike sont également utilisées en conjonction avec des logiciels Microsoft compromis. « Les kits de développement logiciel et les API de Microsoft sont utilisés de manière abusive dans le cadre du codage des logiciels malveillants, ainsi que l'infrastructure criminelle de distribution des logiciels malveillants pour cibler et tromper les victimes », écritAmy Hogan-Burney dans son blog.

En collaboration avec Fortra et le Health Information Sharing and Analysis Center (Health-ISAC), un centre sectoriel de partage d’informations de cybersécurité, Microsogt a obtenu une ordonnance du tribunal le 31 mars pour saisir des noms de domaines et mettre hors ligne une infrastructure illégale de Cobalt Strike. 

Cette ordonnance a été délivrée par le tribunal de district des États-Unis pour le district oriental de New York. Microsoft explique qu’elle lui « permet de notifier les fournisseurs d'accès à Internet (FAI) et les équipes d'intervention en cas d'urgence informatique (CERT) qui aident à mettre hors ligne l'infrastructure, coupant ainsi efficacement la connexion entre les opérateurs criminels et les ordinateurs infectés des victimes ».

Outre les copies craquées de Cobalt Strike, l'action en justice comprend la possibilité de faire valoir des droits d'auteur contre l'utilisation malveillante du code logiciel de Microsoft et de Fortra.

Alors que Microsoft a déjà mené des actions en justice dans le passé, Amy Hogan-Burney a noté une plus grande portée et une opération plus complexe pour la répression de Cobalt Strike.

« Au lieu de perturber le système de commande et de contrôle (C2) d'une famille de logiciels malveillants, nous travaillons cette fois avec Fortra pour supprimer les copies illégales et anciennes de Cobalt Strike afin qu'elles ne puissent plus être utilisées par les cybercriminels », peut-on lire sur le blog.

Amy Hogan-Burney souligne que Microsoft espère que cette action « entravera considérablement la monétisation de ces copies illégales et ralentira leur utilisation dans les cyberattaques, obligeant les criminels à réévaluer et à changer leurs tactiques ».