Uma boa arma nas mãos erradas pode causar grandes estragos. Isso vale tanto para objetos como revólveres, aviões, tanques de guerra quanto para as inovações tecnológicas do mundo cibernético. É sobre este assunto que Lotem Finkelsteen, head de Inteligência de Ameaças da divisão Check Point Research (CPR) da Check Point Software Technologies, fala neste artigo intitulado “De herói a vilão do cibercrime”. ASfinal, quem é o vilão e quem é o heroi desta história. Descubra a seguir.
De herói a vilão do cibercrime
Algo bom em mãos erradas pode causar sérios danos. Isso é verdadeiro em se tratando do mundo cibernético, no qual a plataforma Cobalt Strike se tornou uma espécie de “bicho-papão”. Esta ferramenta foi originalmente criada por hackers éticos para ajudar as organizações a testar a proteção dos sistemas de computação, avaliar os níveis de segurança e analisar a resposta a possíveis ataques. Mas, o lado sombrio nunca desiste, então, quando cibercriminosos viram o enorme potencial do Cobalt Strike, eles decidiram explorar a plataforma para o cibercrime. A plataforma Cobalt Strike é especialmente popular graças à sua versatilidade e a um agente chamado “Beacon” que permite obter acesso não autorizado, aumentar os níveis de privilégio, executar códigos remotamente e roubar dados ou ajudar com camuflagem e posterior propagação e movimentação lateral. Além disso, a ferramenta pode ser facilmente modificada para ajustar suas capacidades. Uma versão pirateada e crackeada está disponível em fóruns ilegais na web, e o código-fonte da versão 4.0 foi vazado no final de 2020. A Cobalt Strike (CS) reserva-se o direito de decidir a quem venderá sua plataforma. Eles evitam vender o produto a fornecedores de segurança cibernética, pois isso é contra seus interesses comerciais. Eles também tentam se abster de comercializar o produto para hackers Black Hat, pois entendem o perigo. Portanto, a versão crackeada é algo que todo mundo precisa, defensores e opositores.
Os cibercriminosos usam uma variedade de técnicas e ataques. Às vezes, eles querem ser vistos para demonstrar os danos causados, por exemplo, em ataques de negação de serviço distribuído (DDoS) em sites. Outras vezes, eles querem distrair e tirar a atenção de outros ataques apenas para testar suas habilidades, ou mostrar sua força e virar notícia.
Mas, de vez em quando, eles tentam se esgueirar pelos sistemas sem serem detectados para não levantar suspeitas, de modo que a ameaça permanece sem ser descoberta pelo máximo de tempo possível. É aí que entra o Cobalt Strike, parte das campanhas financeiras e de espionagem dos maiores grupos de cibercriminosos dos últimos anos, como Cozy Bear, Carbanak e Hancitor. Até mesmo um dos botnets mais destrutivos, o Trickbot, usa o Cobalt Strike desde 2019 para reconhecimento e posterior proliferação. Em 2020, o Trickbot utilizou o Cobalt Strike para espalhar o malware Anchor e o ransomware Ryuk, que foi usado em uma onda de ataques cibernéticos a hospitais, instalações médicas e outras organizações ao redor do mundo. O Cobalt Strike também é um componente popular de ataques por utras ameaças, como ransomware Bazaar, Qbot e DoppelPaymer. Resumindo, a Plataforma Cobalt Strike é uma ferramenta valiosa para uma ampla variedade de ataques.
Analisamos grupos de cibercriminosos e de ameaças que usam as capacidades e os recursos do Cobalt Strike de uma forma ou de outra, mas o que isso significa exatamente e quais são os casos e ataques específicos descobertos pelas equipes de segurança? Por exemplo, os cibercriminosos, presumivelmente do grupo patrocinado pelo estado chinês TAG-22, usaram o Cobalt Strike nos estágios iniciais de um ataque de espionagem a empresas de telecomunicações em Taiwan, Nepal e Filipinas. O Cobalt Strike também foi usado em combinação com o código malicioso BIOPASS, que pode espionar vítimas, disparar comandos e obter acesso remoto a dispositivos, para atacar empresas chinesas de jogos de azar online. E, recentemente, um ataque massivo de ransomware teve como alvo mais de 200 empresas que usavam os sistemas da Kaseya. A Kaseya agora alerta que os atacantes estão tentando imitar a empresa em campanhas de phishing e espalhar o Cobalt Strike usando anexos ou links maliciosos sob o pretexto de uma
“atualização de segurança”.
A lista completa de atividades maliciosas seria muito longa, mas o Cobalt Strike ganhou recentemente ampla notoriedade em um dos maiores ataques do mundo, o ataque à cadeia de suprimentos da SolarWinds. Nove agências governamentais dos Estados Unidos e mais de 100 organizações privadas foram atacadas, causando caos e pânico. E como é que os cibercriminosos conseguiram escapar da atenção das equipes de segurança de uma tecnologia de ponta, de empresas como Microsoft e Cisco e de agências governamentais como o Departamento de Segurança Interna dos Estados Unidos? Como é que o ataque não foi detectado por meses e os atacantes conseguiram ir de uma rede local para a nuvem e obter acesso de longo prazo a dados confidenciais?
O malware Sunburst foi provavelmente espalhado por meio de uma atualização infectada do Orion em fevereiro de 2020. Mas, os pesquisadores descobriram que o malware Sunspot anteriormente não detectado já estava sendo distribuído por meio de uma atualização de plataforma de teste em outubro de 2019. Uma das ferramentas que permitiu essa espionagem de longo prazo foi o Cobalt Strike. Dois carregadores sofisticados, Raindrop e Teardrop, foram usados para espalhá-lo na cadeia de suprimentos da SolarWinds.
Então, você pode ver que o Cobalt Strike é muito popular entre os cibercriminosos e é usado para uma variedade de tarefas. Uma série de modificações estão disponíveis para que os atacantes possam escolher convenientemente o conteúdo malicioso de acordo com suas necessidades. É sua popularidade e ampla gama de opções de customização que dificultam a detecção e investigação, pois os ataques individuais são semelhantes, dificultando a atribuição de campanhas a grupos específicos de hackers.
O cibercrime nunca dorme. Quando identifica uma oportunidade, imediatamente a agarra. E podem não ser apenas ferramentas genuínas como Cobalt Strike, mas também tecnologias e mecanismos de Inteligência Artificial (IA). É por isso que é fundamental usar uma solução de segurança preventiva que elimine proativamente todas as ameaças antes mesmo que elas possam penetrar em um dispositivo ou rede.