Während einer Aktionswoche Ende Juni, die von der Europol-Zentrale aus koordiniert wurde, haben die Strafverfolgungsbehörden den Missbrauch des legitimen Sicherheitstools Cobalt Strike durch Kriminelle bekämpft und zahlreiche Server von Netz genommen.
Während der Aktion haben die Strafverfolgungsbehörden bekannte IP-Adressen, die mit kriminellen Aktivitäten in Verbindung gebracht werden, sowie eine Reihe von Domänennamen, die von kriminellen Gruppen verwendet werden, an Anbieter von Online-Diensten übermittelt. Insgesamt seien 690 IP-Adressen an Online-Diensteanbieter in 27 Ländern gemeldet worden. Bis zum Ende der Woche seien 593 dieser Adressen abgeschaltet worden.
Cobalt Strike ist laut der Europol-Mitteilung ein beliebtes kommerzielles Tool, das von dem Cybersicherheitssoftware-Unternehmen Fortra angeboten wird. Es soll seriösen IT-Sicherheitsexperten helfen, Angriffssimulationen durchzuführen, um Schwachstellen in Sicherheitsabläufen und bei der Reaktion auf Vorfälle zu ermitteln. In den falschen Händen können nicht lizenzierte Kopien von Cobalt Strike einem böswilligen Akteur jedoch eine breite Palette von Angriffsmöglichkeiten bieten, so die Behörde.
Fortra hat laut Europol Schritte unternommen, um den Missbrauch seiner Software zu verhindern, und arbeitete während dieser Untersuchung mit den Strafverfolgungsbehörden zusammen, um die rechtmäßige Nutzung seiner Tools zu schützen. In seltenen Fällen hätten Kriminelle jedoch ältere Versionen von Cobalt Strike gestohlen und geknackte Kopien erstellt, um sich durch eine Hintertür Zugang zu Rechnern zu verschaffen und Malware zu installieren. Solche nicht lizenzierten Versionen des Tools wurden mit mehreren Malware- und Ransomware-Untersuchungen in Verbindung gebracht, darunter die Untersuchungen zu RYUK, Trickbot und Conti, so die Ermittler.
