Мајкрософт и две партнерски организации добија овластување од судот да започнат истрага за инфраструктурата поврзана со масовната злоупотреба на Cobalt Strike, легитимна алатка за тестирање што хакерите ја користеле многу пати за да извршат напади.
Единицата за дигитални криминали на Мајкрософт (DCU), заедно со непрофитниот центар за размена и анализа на здравствени информации (Health-ISAC) и производителот на софтвер Fortra, објавија дека „кракуваните, застарени копии на софтверот Cobalt Strike и Microsoft биле користени од сајбер-криминалците за дистрибуција малициозен софтвер, вклучително и ransomware“.
Cobalt Strike компанијата е противнички симулатор и софтвер за тестирање на пенетрација што се користи за откривање на ранливости и планирање одговори, но постарите верзии на програмата беа широко користени од сајбер-криминалците.
На 31 март, Окружниот суд на САД за источниот округ на Њујорк издаде наредба со која им се дозволува на овие ентитети да тргнат по „злонамерната инфраструктура“ користена во нападите, како што се командните и контролните сервери.
Мајкрософт објасни дека судскиот налог им овозможува да ги известат „релевантните даватели на интернет услуги и тимовите на CERT“ и со нивна помош „да ја прекинат врската помеѓу криминалните оператори и компјутерите на заразените жртви“. Компанијата додаде дека иницијативата вклучува тврдења за авторски права за употреба на софтвер што е „променет и злоупотребен за да предизвика штета“.
Користејќи „откривање, анализа, телеметрија и обратно инженерство“, Мајкрософт и партнерите ја следеа инфраструктурата низ целиот свет, вклучително и во Кина, САД и Русија, како и (државно финансирани) групи во Русија, Кина, Виетнам и Иран користејќи кракувани копии на Cobalt Strike.
Според соопштението, софтверот бил користен во повеќе од 68 напади со откупни софтвери врз здравствениот сектор во повеќе од 19 земји. Кракуваната верзија на софтверот беше користена и од групата за откупнина Conti за да ја нападне владата на Костарика.
Мајкрософт и неговите партнери работат со Одделот за компјутерски криминал на ФБИ, Националната работна група за сајбер истрага на САД (NCIJTF) и Европскиот центар за компјутерски криминал (EC3).
Боб Ердман, помошник потпретседател за развој во Фортра, рече дека компанијата се обидува да ги забави сајбер-криминалците кои ги злоупотребуваат нејзините производи веќе некое време.
„Fortra троши значителни ресурси на истражувачи, инфраструктура и правни процеси за борба против овие закани, како и за подобрување на производот со секое издание за да им отежне на злонамерните актери да го злоупотребат“, рече тој.