Daftar sekarang untuk menonton seminar web sesuai permintaan yang berisi pemaparan wawasan Laporan Pertahanan Digital Microsoft 2024.

Menghentikan penjahat cyber menyalahgunakan alat keamanan

Satu kumpulan ikon pada latar belakang oranye.

Digital Crimes Unit (DCU) Microsoft, perusahaan perangkat lunak keamanan cyber Fortra™, dan Health Information Sharing and Analysis Center (Health-ISAC) mengambil tindakan hukum dan teknis untuk menghabcurkan salinan lama Cobalt Strike yang telah di-crack dan perangkat lunak Microsoft yang disalahgunakan, yang telah digunakan oleh penjahat cyber untuk mendistribusikan program jahat, termasuk ransomware. Hal ini merupakan perubahan cara kerja DCU dari sebelumnya, yang kini memiliki jangkauan yang lebih besar dan operasi yang lebih kompleks. Alih-alih mendisrupsi perintah dan kontrol rangkaian perangkat lunak berbahaya, kami kali ini bekerja sama dengan Fortra untuk menghapus salinan lama Cobalt Strike yang ilegal sehingga penjahat cyber tidak dapat menggunakannya lagi.

Kami harus bekerja secara berkelanjutan untuk menghilangkan salinan lama Cobalt Strike yang di-crack di seluruh dunia. Hal ini adalah tindakan penting dari Fortra untuk melindungi penggunaan sah dari alat keamanannya. Microsoft juga berkomitmen terhadap penggunaan yang sah dari produk dan layanannya. Kami juga percaya bahwa Fortra memilih untuk bermitra dengan kami dalam aksi ini merupakan pengakuan atas upaya DCU memerangi kejahatan cyber selama satu dekade terakhir. Kami bersama-sama berkomitmen untuk memberantas metode distribusi ilegal penjahat cyber.

Cobalt Strike adalah alat pasca-eksploitasi yang sah dan populer dari Fortra, yang digunakan untuk menyimulasikan musuh serangan musuh. Versi lama perangkat lunak terkadang disalahgunakan dan diubah oleh penjahat. Salinan ilegal ini disebut sebagai “di-crack” dan telah digunakan untuk melancarkan serangan destruktif, seperti serangan terhadap Pemerintah Kosta Rika dan Irish Health Service Executive. API dan kit pengembangan perangkat lunak Microsoft disalahgunakan sebagai bagian dari pengkodean program jahat serta infrastruktur distribusi program jahat kriminal untuk menargetkan dan mengelabui korban.

Jenis ransomware yang terkait dengan atau disebarkan oleh salinan Cobalt Strike yang telah di-crack telah dikaitkan dengan lebih dari 68 serangan ransomware yang berdampak pada organisasi layanan kesehatan di lebih dari 19 negara di seluruh dunia. Serangan ini telah merugikan sistem rumah sakit hingga jutaan dolar pada biaya pemulihan dan perbaikan, ditambah gangguan terhadap layanan perawatan pasien yang penting termasuk keterlambatan diagnostik, hasil pencitraan dan laboratorium, pembatalan prosedur medis, dan penundaan pemberian pengobatan kemoterapi, dan lainnya.

Distribusi global salinan Cobalt Strike yang di-crack

Data Microsoft menunjukkan penyebaran global komputer yang terinfeksi salinan Cobalt Strike.

Pada 31 Maret 2023, Pengadilan Distrik AS untuk Distrik Timur New York mengeluarkan perintah pengadilan yang mengizinkan Microsoft, Fortra, dan Health-ISAC menghancurkan infrastruktur berbahaya yang digunakan oleh penjahat untuk memfasilitasi serangan mereka. Hal ini memungkinkan kami untuk memberi tahu penyedia layanan internet (ISP) dan tim kesiapan darurat komputer (CERT) yang relevan untuk membantu menonaktifkan infrastruktur serangan. Tindakan ini akan secara efektif memutus koneksi antara operator kriminal dan komputer yang terinfeksi.

Upaya penyelidikan Fortra dan Microsoft mencakup deteksi, analisis, telemetri, dan rekayasa balik, dengan data dan wawasan tambahan untuk memperkuat kasus hukum kami dari jaringan mitra global, termasuk Health-ISAC, Tim Fortra Cyber Intelligence, dan wawasan dan data tim Microsoft Threat Intelligence. Tindakan kami hanya berfokus pada menghancurkan salinan lama Cobalt Strike yang telah di-crack dan perangkat lunak Microsoft yang disusupi.

Microsoft juga memperluas metode hukum yang telah berhasil digunakan untuk mendisrupsi program jahat dan operasi yang disponsori negara untuk menargetkan penyalahgunaan alat keamanan yang digunakan oleh penjahat cyber dalam berbagai serangan. Mendisrupsi salinan lama Cobalt Strike yang telah di-crack akan secara signifikan menghalangi monetisasi salinan ilegal ini dan memperlambat penggunaannya dalam serangan cyber. Hal ini akan memaksa penjahat untuk mengevaluasi ulang dan mengubah taktik mereka. Tindakan hari ini juga mencakup klaim hak cipta terhadap penggunaan berbahaya dari kode perangkat lunak Microsoft dan Fortra yang diubah dan disalahgunakan untuk tujuan yang merugikan.

Fortra telah mengambil langkah yang cukup besar untuk mencegah penyalahgunaan perangkat lunaknya, termasuk praktik pemeriksaan pelanggan yang ketat. Namun, penjahat cyber diketahui mencuri lunak keamanan versi lama, termasuk Cobalt Strike, membuat salinan yang di-crack untuk mendapatkan akses backdoor ke mesin dan menyebarkan program jahat. Kami telah menemukan operator ransomware menggunakan salinan Cobalt Strike yang telah di-crack dan perangkat lunak Microsoft yang disalahgunakan untuk menyebarkan Conti, LockBit, dan ransomware lainnya sebagai bagian dari model ransomware sebagai layanan.

Pelaku ancaman menggunakan salinan perangkat lunak yang telah di-crack untuk mempercepat penyebaran ransomware di jaringan yang disusupi. Diagram di bawah menunjukkan alur serangan, menyoroti faktor-faktor yang berkontribusi, termasuk spear phishing dan email spam berbahaya untuk mendapatkan akses awal, serta penyalahgunaan kode yang dicuri dari perusahaan seperti Microsoft dan Fortra.

Contoh alur serangan oleh pelaku ancaman DEV-0243.

Unggulan

Laporan Pertahanan Digital Microsoft 2023: Membangun ketahanan cyber

Edisi terbaru Laporan Pertahanan Digital Microsoft mengeksplorasi lanskap ancaman yang berkembang pesat serta panduan terkait peluang dan tantangan dalam rangka memperoleh ketahanan cyber.

Pelajari selengkapnya

Meskipun identitas asli dari para pelaku operasi kriminal saat ini belum diketahui, kami telah mendeteksi infrastruktur berbahaya di seluruh dunia, termasuk di Tiongkok, Amerika Serikat, dan Rusia. Selain penjahat cyber dengan motivasi finansial, kami juga menemukan pelaku ancaman yang bertindak demi kepentingan pemerintah asing (termasuk dari Rusia, Tiongkok, Vietnam, dan Iran) telah menggunakan salinan yang di-crack.

Microsoft, Fortra, dan Health-ISAC terus bekerja tanpa mengenal lelah untuk meningkatkan keamanan ekosistem. Kami juga berkolaborasi dengan Divisi Cyber FBI, National Cyber Investigative Joint Task Force (NCIJTF), dan European Cybercrime Centre (EC3) Europol dalam kasus ini. Meskipun tindakan ini akan berdampak langsung pada operasi para penjahat, kami sepenuhnya menyadari bahwa mereka akan berusaha menghidupkan kembali aktivitas mereka. Oleh karena itu, tindakan ini tidak cukup dilakukan sekali saja. Melalui tindakan hukum dan teknis yang sedang berlangsung, Microsoft, Fortra, dan Health-ISAC, bersama dengan mitra kami, akan terus memantau dan mengambil tindakan untuk mendisrupsi operasi kriminal lebih lanjut, termasuk penggunaan salinan Cobalt Strike yang di-crack.

Fortra berinvestasi secara signifikan dalam komputasi dan sumber daya manusia untuk memerangi penggunaan ilegal perangkat lunaknya dan salinan Cobalt Strike yang di-crack, yang membantu pelanggan mengetahui apakah lisensi perangkat lunak mereka telah disusupi. Praktisi keamanan sah yang membeli lisensi Cobalt Strike diperiksa oleh Fortra dan diharuskan mematuhi pembatasan penggunaan dan kontrol ekspor. Fortra secara aktif bekerja dengan media sosial dan situs berbagi file untuk menghapus salinan Cobalt Strike yang di-crack ketika salinan muncul di properti web tersebut. Saat para penjahat telah menyesuaikan teknik mereka, Fortra juga menyesuaikan kontrol keamanan dalam perangkat lunak Cobalt Strike untuk menghilangkan metode yang digunakan untuk meng-crack Cobalt Strike versi lama.

Seperti yang telah kami lakukan sejak tahun 2008, DCU Microsoft akan terus berupaya menghentikan penyebaran program jahat dengan mengajukan litigasi perdata untuk melindungi pelanggan di banyak negara di seluruh dunia yang menerapkan undang-undang ini. Kami juga akan terus bekerja sama dengan ISP dan CERT untuk mengidentifikasi dan meremediasi korban.

Kejahatan cyber Ransomware Pelaku Ancaman

Menghentikan penjahat cyber menyalahgunakan alat keamanan

Laporan Pertahanan Digital Microsoft 2023: Membangun ketahanan cyber

Edisi terbaru Laporan Pertahanan Digital Microsoft mengeksplorasi lanskap ancaman yang berkembang pesat serta panduan terkait peluang dan tantangan dalam rangka memperoleh ketahanan cyber.

Artikel terkait

Tiga cara untuk melindungi diri Anda dari ransomware

Bertahan dari serangan ransomware modern memerlukan lebih dari sekadar penyiapan tindakan deteksi. Temukan tiga cara terbaik untuk memperkuat keamanan jaringan Anda terhadap ransomware sekarang juga.

Ransomware sebagai layanan: Wajah baru kejahatan cyber di dunia industri

Model bisnis terbaru dalam kejahatan cyber, yaitu serangan yang dioperasikan manusia, makin membuat para penjahat berani dengan kemampuan yang beragam.

Behind the Scenes bersama Nick Carr, yaitu ahli di bidang kejahatan cyber dan perlawanan terhadap ransomware

Nick Carr, Cybercrime Intelligence Team Lead di Microsoft Threat Intelligence Center, membahas tren ransomware, menerangkan apa yang dilakukan Microsoft untuk melindungi pelanggan dari ransomware, dan menjelaskan apa yang dapat dilakukan organisasi jika mereka terkena dampaknya.

Ikuti Microsoft Security