Operação policial global desativa 600 servidores ligados a crimes cibernéticos com uso do Cobalt

Operação policial global desativa 600 servidores ligados a crimes cibernéticos com uso do Cobalt
Compartilhe

Uma operação coordenada de aplicação da lei, denominada MORPHEUS, desativou aproximadamente 600 servidores utilizados por grupos cibercriminosos que faziam parte de uma infraestrutura de ataque associada ao Cobalt Strike.

A repressão teve como alvo versões mais antigas e não licenciadas do framework de red teaming Cobalt Strike entre os dias 24 e 28 de junho, segundo a Europol.

Dos 690 endereços IP que foram identificados como associados a atividades criminosas e sinalizados para provedores de serviços online em 27 países, 590 não estão mais acessíveis.

A operação conjunta, iniciada em 2021, foi liderada pela Agência Nacional de Crimes do Reino Unido (NCA) e contou com a participação de autoridades da Austrália, Canadá, Alemanha, Holanda, Polônia e EUA. Autoridades da Bulgária, Estônia, Finlândia, Lituânia, Japão e Coreia do Sul também forneceram apoio adicional.

Operação policial global desativa 600 servidores ligados a crimes cibernéticos com uso do Cobalt

Cobalt Strike

Cobalt Strike é uma ferramenta popular para simulação de adversários e testes de penetração, desenvolvida pela Fortra (anteriormente Help Systems), que permite aos especialistas em segurança de TI identificar fraquezas nas operações de segurança e respostas a incidentes.

No entanto, como mencionado anteriormente pelo Google e pela Microsoft, versões crackeadas do software acabaram nas mãos de agentes mal-intencionados, que repetidamente o utilizaram para fins de pós-exploração.

De acordo com um relatório recente da Unidade 42 da Palo Alto Networks, isso envolve o uso de uma carga útil chamada Beacon, que utiliza perfis baseados em texto chamados Malleable C2 para alterar as características do tráfego da web do Beacon, na tentativa de evitar a detecção.

Embora o Cobalt Strike seja um software legítimo, infelizmente os cibercriminosos têm explorado seu uso para propósitos nefastos“, disse Paul Foster, diretor de liderança de ameaças da NCA, em um comunicado.

“Versões ilegais dele ajudaram a diminuir a barreira de entrada no crime cibernético, facilitando para criminosos online desencadearem ataques de ransomware e malware prejudiciais com pouca ou nenhuma experiência técnica. Tais ataques podem custar milhões às empresas em termos de perdas e recuperação.”

Esse acontecimento ocorre no momento em que as autoridades policiais espanholas e portuguesas prenderam 54 pessoas por cometerem crimes contra idosos através de esquemas de vishing, se passando por funcionários de banco e induzindo-os a fornecer informações pessoais sob o pretexto de corrigir um problema com suas contas.

Os detalhes eram então passados para outros membros da rede criminosa, que visitavam as casas das vítimas sem aviso prévio e as pressionavam a entregar seus cartões de crédito, códigos PIN e detalhes bancários. Alguns casos também envolviam o roubo de dinheiro e joias.

O esquema criminoso permitiu que os criminosos assumissem o controle das contas bancárias dos alvos ou fizessem saques não autorizados em caixas eletrônicos e outras compras caras.

“Usando uma mistura de ligações telefônicas fraudulentas e engenharia social, os criminosos são responsáveis por perdas de €2.500.000”, disse a Europol no início desta semana.

“Os fundos foram depositados em várias contas espanholas e portuguesas controladas pelos fraudadores, de onde foram canalizados para um elaborado esquema de lavagem de dinheiro. Uma extensa rede de mulas de dinheiro, supervisionadas por membros especialistas da organização, foi usada para disfarçar a origem dos fundos ilícitos.”

As prisões também seguem uma operação semelhante realizada pela INTERPOL para desmantelar redes de tráfico de pessoas em vários países, incluindo o Laos, onde vários cidadãos vietnamitas foram atraídos com promessas de empregos bem remunerados, apenas para serem coagidos a criar contas online fraudulentas para golpes financeiros.

“As vítimas trabalhavam 12 horas por dia, estendidas para 14 horas se não recrutassem outros, e tiveram seus documentos confiscados”, disse a agência. “Famílias foram extorquidas em até US$ 10.000 para garantir seu retorno ao Vietnã.”

Na semana passada, a INTERPOL informou que apreendeu US$ 257 milhões em ativos e congelou 6.745 contas bancárias após uma operação policial global que abrangeu 61 países, conduzida para interromper redes de golpes online e crime organizado.

A operação, conhecida como Operation First Light, teve como alvo phishing, fraude de investimento, sites falsos de compras online, golpes de romance e fraudes de representação falsa. Isso resultou na prisão de 3.950 suspeitos e na identificação de 14.643 outros possíveis suspeitos em todos os continentes.