La Agencia Nacional contra el Crimen (NCA) del Reino Unido ha revelado detalles de una ambiciosa operación para interrumpir la cadena de suministro de delitos cibernéticos al apuntar a direcciones IP que albergan la herramienta Cobalt Strike. Cobalt Strike es una herramienta legítima de prueba de penetración y emulación de amenazas que a menudo es utilizada de forma abusiva por los actores de amenazas para encontrar debilidades en las redes objetivo y, de manera efectiva, crear sistemas de puerta trasera. Aunque el desarrollador Fortra ha tomado medidas en el pasado para garantizar que su uso esté regulado y que la herramienta solo se venda a clientes legítimos, los actores de amenazas han podido robar versiones anteriores y crear copias pirateadas para su distribución. Estos son los objetivos de la Operación Morpheus de la NCA, con la ayuda de Europol y agencias de aplicación de la ley en Australia, Canadá, Alemania, los Países Bajos y Polonia, así como socios del sector privado. Lea más sobre Cobalt Strike: Señuelos con temática gubernamental y sindical utilizados para entregar cargas útiles de Cobalt Strike Durante la semana que comenzó el 24 de junio, se unieron para tomar medidas contra 690 instancias de software Cobalt Strike sin licencia alojado por 129 proveedores de servicios de Internet en 27 países. A finales de la semana, 593 de estos dominios habían sido eliminados, según la NCA. Los participantes del sector privado en la operación utilizaron la “Plataforma de intercambio de información sobre malware” para compartir información sobre amenazas en tiempo real con las fuerzas del orden, incluidos casi 1,2 millones de indicadores de compromiso (IoC), añadió la NCA. Reducción de la barrera de entrada “Versiones ilegales de [Cobalt Strike] “Cobalt Strike ha ayudado a reducir la barrera de entrada al cibercrimen, lo que facilita que los delincuentes en línea desaten ataques dañinos de ransomware y malware con poca o ninguna experiencia técnica”, afirmó el director de liderazgo de amenazas de NCA, Paul Foster. “Estos ataques pueden costarles millones a las empresas en términos de pérdidas y recuperación. Las interrupciones internacionales como estas son la forma más eficaz de degradar a los cibercriminales más dañinos, eliminando las herramientas y los servicios que sustentan sus operaciones”. Don Smith, vicepresidente de inteligencia de amenazas en Secureworks, describió a Cobalt Strike como “la navaja suiza” del cibercrimen y las amenazas de los estados nacionales. “Cobalt Strike ha sido durante mucho tiempo la herramienta elegida por los cibercriminales, incluso como precursor del ransomware. También lo utilizan los actores de los estados nacionales para facilitar las intrusiones en campañas de ciberespionaje”, agregó. “Utilizado como punto de apoyo, ha demostrado ser muy eficaz para proporcionar una puerta trasera persistente a las víctimas, lo que facilita las intrusiones de todo tipo. Esta interrupción es bienvenida, eliminar la infraestructura de Cobalt Strike utilizada por los delincuentes siempre es algo bueno”.