Cobalt Strike: con operazione internazionale bloccati 593 server

Una coalizione internazionale di forze dell’ordine è riuscita a far chiudere 593 server che fungevano da infrastruttura per cybercriminali che abusavano di Cobalt Strike.

L’intervento, a cui è stato assegnato il nome in codice Operazione Morpheus, è stata eseguita dalla National Crime Agency (NCA) della Gran Bretagna e coordinato dall’Europol, con la partecipazione di FBI e delle autorità di altri paesi, come Australia e Canada. L’operazione, iniziata il 24 giugno, è durata complessivamente una settimana e ha interessato 129 ISP sparsi in 27 paesi.

Cobalt Strike, in realtà, non è un malware ma uno strumento per la sicurezza informatica creato da Raphael Mudge nel 2012. Questo viene utilizzato per effettuare penetration test o altre simulazioni. In realtà, però, i criminali informatici abusano di esso per condurre attacchi reali con fini come il furto di dati o nel contesto dei temuti ransomware.

L’operazione Morpheus riuscirà nell’intento di bloccare gli abusi di Cobalt Strike?

A commentare Operazione Morpheus è stato lo stesso direttore della Threat Leadership presso la NCA, Paul Foster, che ha sottolineato come l’abuso di Cobalt Strike, nelle sue versioni illegali, sia una pratica diffusa e pericolosa, in quanto permette anche ai cybercriminali alle prime armi di fare enormi danni.

A rendere l’intervento delle forze dell’ordine un successo è stata senza dubbio la collaborazione tra entità di diversi stati, così come la disponibilità di aziende private, come Abuse CH, BAE Systems Digital Intelligence, Shadowserver, Spamhaus e Trellix. Queste hanno infatti facilitato l’individuazione delle istanze dannose di Cobalt Strike.

Europol coordinates global action against criminal abuse of #cobaltstrike 🔥 We are very proud that together with our partner @SpamhausTech we are part of this international operation 👏 🎉

Indicators on rogue Cobalt Strike #botnet C2 servers related to the operation are… pic.twitter.com/FrNDbUPfTr

— abuse.ch (@abuse_ch) July 3, 2024

Questo intervento avrà un reale effetto sulle attività dei cybercriminali? Per gli esperti la risposta è si, anche se potrebbe trattarsi di un rallentamento solo temporaneo delle sue attività.

D’altro canto, i criminali informatici sono noti per la loro resilienza e capacità di adattarsi rapidamente,  creando nuove infrastrutture dopo il blocco delle precedenti. Nonostante ciò, Fortra (società che possiede Cobalt Strike) si è detta pronta a continuare i suoi sforzi per evitare abusi del software.