Les forces de l’ordre europees s’han unit amb el sector privat per lluitar contra l’abús d’una eina de seguretat, Cobalt Strike, que estaven utilitzant els delinqüents per infiltrar-se en els sistemes informàtics de les víctimes.

Durant una setmana d’acció policial coordinada des de la seu d’Europol, entre el 24 i el 28 de juny d’enguany, van tenir com a objectiu les versions anteriors i sense llicència de l’eina d’equip Cobalt Strike.

Al llarg d’aquesta setmana, les forces de l’ordre van marcar adreces IP conegudes i associades a activitats delictives, juntament amb una sèrie de noms de domini utilitzats per grups criminals, perquè els proveïdors de serveis en línia desactivessin les versions sense llicència de l’eina. Es van marcar un total de 690 adreces IP als proveïdors de serveis en línia de 27 països.

Coneguda com a operació Morpheus, aquesta investigació va ser dirigida per l’Agència Nacional del Crim del Regne Unit i hi van participar autoritats policials d’Austràlia, el Canadà, Alemanya, els Països Baixos, Polònia i els Estats Units. Europol va coordinar l’activitat internacional i es va relacionar amb els socis privats. Aquesta ofensiva marca la culminació d’una investigació complexa iniciada l’any 2021.

Cobalt Strike és una eina comercial popular proporcionada per l’empresa de programari de ciberseguretat Fortra. Està dissenyada per ajudar els experts legítims en seguretat informàtica a realitzar simulacions d’atac que identifiquin les debilitats en les operacions de seguretat i les respostes als incidents.

En mans equivocades, però, les còpies sense llicència de Cobalt Strike poden proporcionar a un actor maliciós una àmplia gamma de capacitats d’atac.

Fortra ha pres mesures importants per prevenir l’ús abusiu del seu programari i s’ha associat amb les forces de l’ordre durant aquesta investigació per protegir l’ús legítim de les seves eines. No obstant, en alguna circumstància, els delinqüents han robat versions anteriors de Cobalt Strike i han creat còpies per accedir a les màquines per la porta de darrere i desplegar programari maliciós. Aquestes versions sense llicència de l’eina s’han connectat a diverses investigacions de programari maliciós i ransomware, incloses les de RYUK, Trickbot i Conti.

La cooperació amb el sector privat va ser fonamental per a l’èxit d’aquesta acció policial europea. Diversos socis de la indústria privada van donar suport a l’acció, com ara BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch i The Shadowserver Foundation. Aquests socis van desplegar capacitats d’escaneig, telemetria i analítiques millorades per ajudar a identificar les activitats malicioses i l’ús dels ciberdelinqüents.

Aquest nou enfocament és possible gràcies al Reglament modificat d’Europol que ha reforçat la capacitat de l’Agència per donar un millor suport als estats membres de la Unió, fins i tot col·laborant amb el sector privat. Mitjançant aquest nou enfocament, Europol pot accedir a la informació sobre amenaces en temps real i obtenir una perspectiva més àmplia sobre les tàctiques cibercriminals. Aquesta associació permet una resposta més coordinada i integral, que millora en última instància la resiliència global de l’ecosistema digital a tot Europa.

El Centre Europeu de Ciberdelinqüència (EC3) d’Europol dona suport a aquest cas des del setembre del 2021 proporcionant suport analític i forense i facilitant l’intercanvi d’informació entre tots els socis.

Les forces de l’ordre van utilitzar una plataforma per compartir informació de programari maliciós, per permetre al sector privat compartir informació sobre amenaces en temps real amb les forces de l’ordre. Durant tota la investigació, es van compartir més de 730 dades d’intel·ligència sobre amenaces que contenien gairebé 1,2 milions d’indicadors de compromís.

A més, l’EC3 d’Europol va organitzar més de 40 reunions de coordinació entre les forces de l’ordre i els socis privats. Durant la setmana d’acció, Europol va establir un lloc de comandament virtual per coordinar les accions policials arreu del món.

_____

Esta entrada en español / This post in English / Post en français