Europol confirma apreensão de centenas de servidores usados pelo Cobalt Strike
A Europol confirmou ter encerrado centenas de servidores que estariam a ser usados por uma das maiores redes de atividades criminosas atualmente ativas.
De acordo com o comunicado da entidade, cerca de 600 servidores associados com o Cobalt Strike foram apreendidos pelas autoridades, numa ação conjunta com as forças de segurança de diferentes países.
Durante apenas uma semana no final de Junho, as autoridades identificaram centenas de IPs associados com sistemas que estariam a ser usados pela campanha de malware e para ataques, começando a investigação dos mesmos e eventual controlo dos sistemas associados.
As autoridades afirmam ter identificado e encerrado 690 endereços IP associados com sistemas usados pelo software, em mais de 27 países diferentes. No final da semana onde os IPs foram identificados, pelo menos 593 estariam inacessíveis ou no controlo das autoridades.
Esta ação resulta de uma investigação das autoridades que terá começado faz mais de três anos, em 2021. “Ao longo de toda a investigação, mais de 730 informações de inteligência sobre ameaças foram partilhadas, contendo quase 1,2 milhão de indicadores de comprometimento”, acrescentou a Europol.
“Além disso, o EC3 da Europol organizou mais de 40 reuniões de coordenação entre as agências de aplicação da lei e os parceiros privados. Durante a semana de ação, a Europol criou um posto de comando virtual para coordenar a ação de aplicação da lei em todo o mundo.”
Estes servidores estariam a ser usados para várias campanhas de malware e ransomware, bem como a distribuir conteúdos potencialmente maliciosos sobre centenas de domínios diferentes.
Embora o Cobalt Strike tenha sido um software lançado de forma legitima pela empresa Fortra faz mais de dez anos, o mesmo tem vindo a ser usado como forma de encontrar vulnerabilidades em redes e sistemas, de forma ilícita. O software encontrava-se destinado a usos bastante específicos, sobretudo por parte das autoridades, mas terá sido distribuído em versões piratas para grupos de hackers, que o começaram a usar para ataques em larga escala.