Après les droppers d’Endgame, Cobalt Strike. Les polices européennes continuent le travail de sape contre les outils de prédilection des cybercriminels, une façon de leur compliquer la vie à défaut de les arrêter.
L’agence Europol vient ainsi d’annoncer le ciblage de versions anciennes et non autorisées de l’outil de Red team Cobalt Strike à la fin juin.
Dénommée Morpheus, cette opération a été menée avec les polices australiennes, britanniques, canadiennes et états-uniennes. « Tout au long de la semaine, les forces de l’ordre ont signalé des adresses IP connues associées à des activités criminelles, ainsi qu’une série de noms de domaine utilisés par des groupes criminels, afin que les fournisseurs de services en ligne désactivent les versions sans licence de l’outil », explique Europol.
690 adresses IP associées à des activités criminelles
Dans le détail, cela a permis de signaler 690 adresses IP associées à des activités criminelles à des fournisseurs de services en ligne de 27 pays.
Autant d’adresses qui ont pu être identifiées grâce au soutien de plusieurs entreprises et fondations. « Ces partenaires ont déployé des capacités améliorées d’analyse, de télémétrie et d’analyse pour aider à identifier les activités malveillantes et l’utilisation par les cybercriminels », résume Europol.
Outil populaire chez les chercheurs et les cybercriminels
Cobalt Strike, mis au point par l’éditeur Fortra, est un outil particulièrement populaire dans la sécurité informatique. Il permet en effet de simuler des attaques et d’identifier les faiblesses d’un système d’information. « Cependant, entre de mauvaises mains, des copies sans licence de Cobalt Strike peuvent fournir à un acteur malveillant un large éventail de capacités d’attaque », rappelle Europol.
Certes, l’éditeur Fortra tente d’empêcher l’utilisation abusive de son logiciel. Mais, signale Europol, des cybercriminels ont réussi, « dans de rares circonstances », à voler d’anciennes versions ou à créer des copies piratées.
« Ces versions sans licence de l’outil ont été liées à de multiples enquêtes sur les logiciels malveillants et les ransomwares, notamment celles sur Ryuk, Trickbot et Conti », signale Europol.
Une utilisation notamment documentée par une fuite de données qui avait affecté les cybercriminels de Conti en août 2021. A titre d’exemple, l’Anssi avait également signalé l’utilisation de ce logiciel par Nobelium dans ces attaques contre le ministère des Affaires étrangères.
Avant Morpheus, Endgame
C’est la deuxième opération d’entrave de ce genre a être menée par Europol en quelques semaines. Il y a un peu plus d’un mois, l’agence avait en effet lancé une opération similaire contre cinq logiciels clés des cybercriminels.
Dénomée Endgame, cette manœuvre avait pour but de s’attaquer à des programmes clés pour les attaquants, Bumblebee, Pikabot, Smokeloader, SystemBC, IcedID et Trickbot.
Ces logiciels permettent en effet ensuite à d’autres gangs, spécialisés par exemple dans le rançongiciel, de faire main basse sur des précieux accès initiaux. Au contraire de Morpheus, cette opération d’entrave avait toutefois eu des résultats judiciaires concrets, avec l’arrestation de quatre suspects et l’émission de dix mandats d’arrêt internationaux.