Una operación coordinada de aplicación de la ley llamada MORPHEUS ha caído cerca de 600 servidores utilizados por grupos ciberdelincuentes y relacionados con Cobalt Strike.
La represión ha apuntado a versiones antiguas y no licenciadas del marco de red teaming Cobalt Strike entre el 24 y el 28 de junio, según Europol.
De las 690 direcciones IP identificadas como asociadas a actividades criminales en 27 países, 590 ya no están accesibles después de que se informara a los proveedores de servicios en línea.
La Agencia Nacional del Crimen del Reino Unido lideró la operación conjunta, con la participación de autoridades de Australia, Canadá, Alemania, Países Bajos, Polonia y Estados Unidos. Y recibió apoyo adicional de Bulgaria, Estonia, Finlandia, Lituania, Japón y Corea del Sur.
Cobalt Strike es una herramienta popular de simulación de adversarios y pruebas de penetración desarrollada por Fortra (anteriormente Help Systems) para identificar debilidades en las operaciones de seguridad y respuestas a incidentes.
Sin embargo, versiones pirateadas del software han caído en manos de actores malintencionados, explotando su uso con fines nefastos y abusándolo con cargas útiles como Beacon, que utilizan perfiles basados en texto llamados Malleable C2 para alterar las características del tráfico web.
Según Paul Foster, director de liderazgo de amenazas en la NCA, las versiones ilegales de este software han ayudado a rebajar la barrera de entrada al cibercrimen y facilitar ataques de ransomware y malware.
Estos eventos ocurren cuando la policía española y portuguesa arresta a 54 personas acusadas de cometer delitos contra ciudadanos ancianos a través de esquemas de vishing, y Europol señala pérdidas por valor de 2.500.000 euros.
Los fondos se depositaron en cuentas controladas por los estafadores para canalizarlos a esquemas de lavado de dinero y se confiscaron bienes por valor de 257 millones de dólares tras la Operación First Light de INTERPOL.
Esta operación global apuntó a ataques de phishing, fraudes de inversión, estafas románticas y de suplantación, lo que llevó al arresto de 3.950 sospechosos y la identificación de otros 14.643 posibles sospechosos.
Vía The Hacker News