Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , Sektöre Özgü
Sipariş, ABD Veri Merkezleri Tarafından Barındırılan Kötü Amaçlı Etki Alanlarını, Sunucu IP Adreslerini Etkiliyor
David Perera (@daveperera) •
7 Nisan 2023
Fidye yazılımı olaylarındaki yaygın bir konu, bilgisayar korsanlarının Cobalt Strike penetrasyon testi aracını kullanmasıdır. ABD federal kurumları, varlığı konusunda uyanık olmaları için özellikle sağlık sektörüne defalarca uyarılar yayınladı. Google 2022’nin sonlarında antivirüs motorlarının onu algılamasına izin veren kod yayınlandı.
Ayrıca bakınız: Web Semineri | Ağ Mimarisinin Evrimi: Bilmedikleriniz Size Zarar Verebilir
Şimdi, Cobalt Strike yapımcısı Fortra, Microsoft ve Sağlık Bilgi Paylaşımı ve Analiz Merkezi, kötü aktörler tarafından kontrol edilen komuta ve kontrol merkezlerine gönderilen Cobalt Strike bulaşmış bilgisayarlardan gelen internet trafiğini obruk sunuculara yönlendiren bir ABD federal mahkeme emri aldı. Sipariş, Amerika Birleşik Devletleri’ndeki veri merkezleri tarafından barındırılan sunucu internet protokolü adreslerini ve çok sayıda kötü amaçlı etki alanını etkiliyor.
Microsoft’un Dijital Suçlar Genel Müdürü Amy Hogan-Burney, “Kötü amaçlı yazılım ailesinin komuta ve kontrolünü bozmak yerine, bu kez Cobalt Strike’ın yasa dışı eski kopyalarını siber suçlular tarafından kullanılamayacak şekilde kaldırmak için Fortra ile birlikte çalışıyoruz” dedi. Birim.
ABD New York Doğu Bölgesi Bölge Mahkemesinde üç davacı tarafından yapılan bir şikayet, Cobalt Strike’ın lisanssız sürümlerinin bilgisayar korsanları tarafından LockBit ve Conti gibi şirketler tarafından fidye yazılımı saldırılarının önünü açmak için kullanıldığını ve bunun birçok yan ürününün geçmişini ayrıntılarıyla anlatıyor. gruplar.
Bilgisayar korsanları, Mayıs 2021’de İrlanda ulusal sağlık sistemine yönelik bir saldırı sırasında Cobalt Strike’ın lisanssız sürümlerini kullandı. iyileştirme maliyetleri (bkz: Irish Healthcare Fidye Yazılımı Hack’inin Maliyeti 80 Milyon Euro’yu Aşıyor).
Conti bunları 2022’de, güvenlik araştırmacılarının “10’dan fazla Cobalt Strike işaret oturumu” tespit ettiği Kosta Rika hükümetine karşı kaos eken bir fidye yazılımı saldırısında tekrar kullandı.
İlk olarak 2012’de kodlanan Cobalt Strike, yaygın olarak bulunan ilk penetrasyon testi araçlarından biriydi. Son on yılda karmaşıklığı arttı ve artık kullanıcıların keşif ve kimlik avı e-postaları göndermesine ve virüslü sistemlere ek kötü amaçlı yazılım bırakmasına izin veriyor. Proofpoint, 2021’de aracın tehdit aktörleri tarafından 2019’dan 2020’ye kullanımında %161’lik bir artışa tanık olduğunu söyledi. Conti 2022’de parçalanmadan önce araca o kadar değer verdi ki meşru bir şirkete gizlice lisans satın alması için 30.000 dolar ödedi. Siber güvenlik muhabiri Brian Krebs geçen yıl yazmıştı.
Health-ISAC baş güvenlik sorumlusu Errol Weiss, Amerika Birleşik Devletleri’nde fidye yazılımı saldırılarına maruz kalan en az altı sağlık kuruluşunun daha önce bir Cobalt Strike enfeksiyonunun belirtilerini gösterdiğini söyledi.
Bilgi Güvenliği Medya Grubu’na fidye yazılımı saldırılarının etkisi hakkında “Elektronik sağlık kayıtlarının tamamı çöken, hasta kabul edemeyen hastanelerimiz var, hastaneler yönlendiriliyor” dedi.
Ekim ayında Sağlık ve İnsan Hizmetleri Bakanlığı, sağlık kuruluşlarını Kobalt Strike enfeksiyonlarının arttığı konusunda uyardı. Aracın kullanımının fidye yazılımı bilgisayar korsanlarıyla sınırlı olmadığı konusunda uyarıda bulunuldu – ulus-devlet tehdit aktörleri de onu benimsedi. Microsoft, Cobalt Strike’ın lisanssız veya çalıntı kopyalarını kullanarak Rusya, Çin, Vietnam ve İran da dahil olmak üzere yabancı hükümetlerin çıkarları doğrultusunda hareket eden bilgisayar korsanlığı gruplarının olduğunu söyledi.