La Agencia Nacional contra el Crimen (NCA) del Reino Unido, junto con agencias asociadas de todo el mundo, incluido el FBI y agencias de Australia, Canadá y la Unión Europea, ha emprendido una serie de acciones de cumplimiento contra los usuarios de la herramienta de prueba de penetración Cobalt Strike que la estaban explotando para permitir la actividad delictiva cibernética. La semana pasada, Operation Morpheus tomó medidas contra 690 instancias individuales de Cobalt Strike que se encontraban en 129 proveedores de servicios de Internet (ISP) en casi 30 países. En el momento de escribir este artículo, la coalición de la NCA ha logrado neutralizar 593 de estas instancias maliciosas mediante una combinación de desmantelamiento de servidores y notificación a los ISP de que están alojando malware para que tomen medidas. Aunque Cobalt Strike se vende y utiliza legítimamente por muchos (de hecho, actualmente es propiedad de Fortra), a lo largo de los años desde su creación por el desarrollador Raphael Mudge también se ha convertido en la herramienta de referencia para los cibercriminales que buscan preparar un ciberataque. Para estos actores, es relativamente fácil obtener versiones pirateadas o sin licencia, o crackear versiones antiguas, de Cobalt Strike y explotar sus capacidades para infiltrarse rápidamente en los sistemas y redes de TI de sus víctimas y llevar a cabo ransomware y otros ataques cibernéticos. Como tal, dijo la NCA, la versión ilícita de Cobalt Strike se ha utilizado en algunos de los mayores ataques cibernéticos de los últimos años, así como por múltiples bandas de ransomware, incluidas las de Ryuk y Conti. «Aunque Cobalt Strike es un software legítimo, lamentablemente los cibercriminales han explotado su uso con fines nefastos», dijo el director de liderazgo de amenazas de la NCA, Paul Foster. «Las versiones ilegales del mismo han ayudado a reducir la barrera de entrada al cibercrimen, lo que facilita que los delincuentes en línea desaten ataques dañinos de ransomware y malware con poca o ninguna experiencia técnica. Estos ataques pueden costarles a las empresas millones en términos de pérdidas y recuperación. «Las interrupciones internacionales como estas son la forma más eficaz de degradar a los cibercriminales más dañinos, eliminando las herramientas y los servicios que sustentan sus operaciones. ¿Cómo puedo evitar que utilicen Cobalt Strike en mi contra? Al igual que ocurre con muchas herramientas que utilizan los ciberdelincuentes, la principal arma que pueden utilizar los profesionales de TI y seguridad contra Cobalt Strike es prestar atención a los principios básicos de higiene de la ciberseguridad y comunicarlos a toda la organización. Cobalt Strike suele llegar a través de un correo electrónico de phishing o spam que intenta que la víctima potencial haga clic en un enlace o abra un archivo adjunto malicioso, que luego instala una baliza de Cobalt Strike que le da al ciberdelincuente acceso remoto al sistema comprometido para que pueda ponerse a trabajar. Por lo tanto, implementar y hacer cumplir las medidas y políticas de seguridad del correo electrónico es la primera y mejor opción. Además, Fortra se ha comprometido a seguir trabajando con las fuerzas del orden y la industria de la seguridad para identificar y eliminar versiones anteriores del software de Internet.