Im Rahmen einer konzertierten Aktion zur Bekämpfung der Cyberkriminalität, bei der das Sicherheitstool Cobalt Strike missbraucht wurde, wurden von Europol fast 600 IP-Adressen ausfindig gemacht. Die Operation MORPHEUS fand zwischen dem 24. und 28. Juni statt und richtete sich gegen ältere, nicht lizenzierte Versionen des Tools, die häufig für kriminelle Aktivitäten genutzt werden.
„Im Laufe der Woche haben die Strafverfolgungsbehörden bekannte IP-Adressen, die mit kriminellen Aktivitäten in Verbindung gebracht werden, sowie eine Reihe von Domainnamen, die von kriminellen Gruppen verwendet werden, für Online-Diensteanbieter markiert, um nicht lizenzierte Versionen des Tools zu deaktivieren. Insgesamt wurden 690 IP-Adressen an Online-Diensteanbieter in 27 Ländern gemeldet. Bis zum Ende der Woche wurden 593 dieser Adressen abgeschaltet“, heißt es in einer Mitteilung von Europol.
⚠️Law enforcement teamed up with the private sector to stop criminals abusing Cobalt Strike to carry out attacks.
An action led by @NCA_UK & coordinated from Europol HQ resulted in the takedown of 593 IP addresses linked to criminal activity.
Details ⤵️https://t.co/yrqiri7G4m pic.twitter.com/jJzrgOPh9t
— Europol (@Europol) July 3, 2024
Die Operation MORPHEUS wurde in erster Linie von der britischen National Crime Agency (NCA) geleitet und umfasste auch wichtige Beteiligungen von Behörden aus Australien, Kanada, Deutschland, den Niederlanden, Polen und den Vereinigten Staaten. Das Europäische Zentrum für Cyberkriminalität (EC3) von Europol koordinierte die internationalen Bemühungen und die Zusammenarbeit mit Partnern aus dem Privatsektor.
The NCA has coordinated global action against illicit software which has been used by cybercriminals for over a decade to infiltrate victims’ IT systems and conduct attacks.
FULL STORY ➡️ https://t.co/FrbB3glUOk pic.twitter.com/nV6cciRj9g
— National Crime Agency (NCA) (@NCA_UK) July 3, 2024
Paul Foster, Leiter der Bedrohungsabteilung der NCA, erklärte, dass Cobalt Strike zwar eine legale Software sei, Cyberkriminelle sie jedoch für „schändliche Zwecke“ ausnutzten.
Er fügte hinzu: „Illegale Versionen der Software haben dazu beigetragen, die Einstiegshürde in die Cyberkriminalität zu senken, wodurch es für Online-Kriminelle einfacher geworden ist, schädliche Ransomware- und Malware-Angriffe mit wenig oder gar keinem technischen Fachwissen zu nutzen. Solche Angriffe können Unternehmen Millionen an Verlusten und Wiederherstellungskosten kosten.“
„Ich fordere alle Unternehmen, die Opfer von Cyberkriminalität geworden sind, auf, sich zu melden und solche Vorfälle den Strafverfolgungsbehörden zu melden“.
Was ist ein Cobalt Strike Angriff?
Cobalt Strike wurde von Fortra entwickelt und ist ein legitimes und weit verbreitetes Cybersicherheitswerkzeug, das IT-Sicherheitsexperten dabei helfen soll, simulierte Angriffe durchzuführen, um Schwachstellen aufzudecken. In den Händen von Cyberkriminellen kann es jedoch auch missbraucht werden. Es wurde berichtet, dass raubkopierte Versionen älterer Versionen wie Ryuk, Trickbot und Conti in mehreren aufsehenerregenden Fällen von Malware und Ransomware eingesetzt wurden.
We’ve partnered with Europol, the UK National Crime Agency, and several other private partners to protect the legitimate use of Cobalt Strike. https://t.co/8IQWr10YBY https://t.co/gALYztQmdI
— Fortra (@fortraofficial) July 3, 2024
Um dieser Bedrohung entgegenzuwirken, hat Fortra mit den Strafverfolgungsbehörden zusammengearbeitet, um die rechtmäßige Nutzung seiner Software sicherzustellen. „Fortra hat bedeutende Schritte unternommen, um den Missbrauch seiner Software zu verhindern und hat während dieser Untersuchung mit den Strafverfolgungsbehörden zusammengearbeitet, um die rechtmäßige Nutzung seiner Tools zu schützen“, so Europol.
Die Operation war dank der Zusammenarbeit mit Partnern aus dem Privatsektor wie BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch und der Shadowserver Foundation ein voller Erfolg. Die Partner stellten Scanning-, Telemetrie- und Analysewerkzeuge zur Verfügung, um die böswillige Nutzung von Cobalt Strike zu identifizieren und einzudämmen.
Das EC3 von Europol hat dieses Projekt seit seinem Start im September 2021 mit analytischer und forensischer Unterstützung unterstützt. Zudem kam die Malware Information Sharing Platform intensiv zum Einsatz: Mehr als 730 Bedrohungsdaten mit fast 1,2 Millionen Hinweisen wurden ausgetauscht.
Diese koordinierte Aktion ist Teil einer umfassenderen Strategie, die durch die geänderte Europol-Verordnung ermöglicht wurde, mit der die Fähigkeit von Europol gestärkt wurde, die EU-Mitgliedstaaten durch die Förderung der Zusammenarbeit mit dem Privatsektor zu unterstützen. Dieser strategische Ansatz hat die Widerstandsfähigkeit des europäischen digitalen Ökosystems gegenüber Cyberbedrohungen erheblich verbessert.
Abbildung: Ideogramm