Fortra: количество несанкционированных копий Cobalt Strike резко упало на 80%

За последние два года усилия Fortra, направленные на борьбу с распространением устаревших нелегальных версий Cobalt Strike, дали ощутимый результат — количество обнаруженного вредоносного программного обеспечения снизилось на 80%.

Разработчик Cobalt Strike представил свежие данные о кампании, реализуемой совместно с Microsoft и Центром анализа и обмена медицинской информацией (Health-ISAC). Целью этой работы является ограничение доступа к инструменту, который остаётся популярным среди киберпреступников.

Cobalt Strike создавался как легальный инструмент для тестирования защиты и моделирования угроз, но его функционал привлёк злоумышленников. Используя взломанные версии, они анализируют уязвимости сетей, получают несанкционированный доступ и проводят атаки.

Fortra ранее предпринимала меры, чтобы контролировать распространение Cobalt Strike, продавая его исключительно официальным клиентам. Несмотря на это, хакеры сумели получить старые версии, а затем создать взломанные копии. Тем не менее, Fortra отметила, что частота злоупотреблений заметно снизилась.

Компания сообщила о результатах борьбы с нелегальным распространением:

• были заблокированы более 200 вредоносных доменов, чтобы злоумышленники не могли их использовать;
• среднее время, затрачиваемое на выявление и ликвидацию угроз, уменьшилось — теперь в США этот процесс занимает менее недели, а в других странах не превышает двух недель.

Активная фаза борьбы с незаконным использованием Cobalt Strike продолжалась три года и достигла своего пика в 2024 году, когда Национальное агентство по борьбе с преступностью (NCA) Великобритании инициировало операцию под названием «Морфеус».

Как результат, поставщики интернет-услуг в 27 странах отметили 690 IP-адресов, связанных с нелегальными копиями Cobalt Strike. Из них 593 были успешно ликвидированы, что помогло ограничить распространение взломанных версий инструмента.

Полная версия отчета представлена по ссылке.