Una operació de les forces de seguretat coordinada amb el nom en clau MORPHEUS ha deshabilitat prop de 600 servidors que eren utilitzats per grups cibercriminals i que formaven part d’una infraestructura d’atac associada a l’eina Cobalt Strike.

Segons l’Europol, les mesures de les forces de seguretat es van adreçar contra versions antigues i sense llicència de l’equip Vermell de Cobal Strike entre el 24 i el 28 de juny.

De les 690 adreces IP que es van marcar als proveïdors de serveis en línia de 27 països com a associades a activitats delictives, 590 ja no són accessibles.

L’operació conjunta, que va començar el 2021, va ser liderada per l’Agència Nacional del Crim (NCA en anglès) del Regne Unit i va implicar autoritats d’Austràlia, Canadà, Alemanya, Països Baixos, Polònia i funcionaris dels Estats Units. A més Bulgària, Estònia, Finlàndia, Lituània, Japó, i Corea del Sud van oferir suport addicional.

Cobalt Strike és una eina popular de simulació d’adversaris i proves de penetració desenvolupada per Fortra (anteriorment Help Systems), que ofereix als experts en seguretat informàtica una manera d’identificar les debilitats en les operacions de seguretat i les respostes a incidents.

No obstant això, com havien observat anteriorment Google i Microsoft, les versions craquejades del programari han estat aprofitades per actors maliciosos, que n’han abusat una vegada i una altra amb finalitats posteriors a l’explotació.

«Cobalt Strike és la navalla de l’exèrcit suís dels cibercriminals i els actors d’estat nacional», va dir Don Smith, vicepresident d’intel·ligència d’amenaces de SecureWorks, en un comunicat compartit amb The Hacker News.

«Cobalt Strike ha estat durant molt de temps l’eina preferida per als ciberdelinqüents, fins i tot com a precursor del programari de segrest. També el despleguen actors d’estat nacional, per exemple, russos i xinesos, per facilitar les intrusions en campanyes d’espionatge cibernètic. S’utilitza com a punt d’accés, perquè ha demostrat ser molt eficaç a l’hora de proporcionar la porta del darrere persistent a les víctimes».

Dades compartides per Trellix mostres que els Estats Units, l’Índia, Hong Kong, Espanya i el Canadà representen més del 70 % dels països objectiu dels actors d’amenaça que utilitzen Cobalt Strike. La majoria de la infraestructura de Cobalt Strike es troba a la Xina, als Estats Units, Hong Kong, Rússia i Singapur.

Segons un informe recent de Palo Alto Networks Unit 42, els atacs que impliquen l’eina fan ús d’una càrrega útil anomenada Beacon, que utilitza perfils basats en text anomenats Malleable C2 per alterar les característiques del trànsit web de Beacon per intentar evitar la detecció.

«Tot i que Cobalt Strike és un programari legítim, malauradament els cibercriminals n’han aprofitat l’ús amb finalitats nefastes», va dir Paul Foster, director de lideratge d’amenaces de l’NCA, en un comunicat.

«Les seves versions il·legals han ajudat a reduir la barrera d’entrada a la ciberdelinqüència, tot facilitant que els delinqüents en línia desencadenin atacs de programari maliciós i de segrest perjudicials amb poca o cap experiència tècnica. Aquests atacs poden costar milions a les empreses en termes de pèrdues i recuperació».

L’operació es produeix quan les forces de seguretat espanyoles i portugueses detenen 54 persones per cometre delictes contra gent gran mitjançant operacions de pesca per veu, que es feien passar per empleats del seu banc i els enganyaven perquè els donessin informació personal amb l’excusa de rectificar un problema amb els seus comptes.

Aleshores, les dades es transmetien a altres membres de la xarxa criminal, que visitaven les llars de les víctimes sense previ avís i les pressionaven perquè els donessin les seves targetes de crèdit, codis PIN i dades bancàries. Alguns casos també van implicar el robatori d’efectiu i joies.

L’operació criminal finalment va permetre que els delinqüents prenguessin el control dels comptes bancaris de les víctimes o fessin retirades d’efectiu no autoritzades dels caixers automàtics i altres compres cares.

«Mitjançant l’ús d’una combinació de trucades telefòniques fraudulentes i enginyeria social, els delinqüents són responsables de pèrdues de 2.500.000 euros», va informar l’Europol a principis d’aquesta setmana.

«Els fons es van dipositar en múltiples comptes espanyols i portuguesos controlats pels estafadors, des d’on es van canalitzar cap a un elaborat esquema de blanqueig de diners. Es va utilitzar una extensa xarxa de mules de diners supervisades per membres especialitzats de l’organització per dissimular l’origen il·lícit dels fons.»

Les detencions també segueixen en una acció similar duta a terme per l’INTERPOL per desmantellar les xarxes de tràfic d’éssers humans a diversos països, inclòs Laos, on diversos ciutadans vietnamites van ser atrets amb promeses de llocs de treball ben remunerats, però van acabar obligats a crear comptes en línia fraudulents per estafes financeres.

«Les víctimes treballaven jornades laborals de 12 hores, ampliades a 14 hores si no reclutaven altres persones i se’ls confiscaven els seus documents», ha explicat l’agència. «Les famílies van ser extorsionades fins a 10.000 dòlars per assegurar el seu retorn al Vietnam».

La setmana passada, l’INTERPOL va dir que també havia confiscat actius per valor de 257 milions de dòlars i va congelar 6.745 comptes bancaris després d’una operació policial global que abastava 61 països i que es va dur a terme per interrompre les estafes en línia i les xarxes de crim organitzat.

L’operació, anomenada Operació First Light, pesca dirigida, frau d’inversió, llocs de compres en línia falsos, estafes d’amor i suplantació d’identitat, va provocar la detenció de 3.950 sospitosos i va identificar 14.643 possibles sospitosos a tots els continents.