Microsoft съобщи, че заедно  с Fortra и Центъра за обмен и анализ на здравна информация (Health-ISAC) ще се справи със злоупотребата с инструмента Cobalt Strike от страна на киберпрестъпници за разпространение на зловреден софтуер, включително ransomware.

За тази цел звеното за цифрови престъпления (DCU) на технологичния гигант разкри, че е осигурило съдебна заповед в САЩ за „премахване на незаконните, наследени копия на Cobalt Strike, за да не могат повече да се използват от киберпрестъпниците“.

Макар че Cobalt Strike, разработен и поддържан от Fortra (бивша HelpSystems), е легитимен инструмент за постексплоатация, използван за симулация на противника, незаконните кракнати версии на софтуера са били използвани като оръжие от хакерите през годините.

По-специално, групи, занимаващи се с рансъмуер, са използвали Cobalt Strike след получаване на първоначален достъп до целевата среда, за да увеличат привилегиите си, да се придвижат странично в мрежата и да разгърнат зловреден софтуер, криптиращ файлове.

„Семействата рансъмуер, свързани с или разгърнати от кракнати копия на Cobalt Strike, са свързани с повече от 68 атаки с рансъмуер, които засягат здравни организации в повече от 19 държави по света“, казва Ейми Хоган-Бърни, генерален мениджър на DCU.

Чрез прекъсване на използването на наследени копия на Cobalt Strike и компрометиран софтуер на Microsoft се цели да се възпрепятстват атаките и да се принудят противниците да преосмислят тактиката си, добави компанията.

От Редмънд отбелязаха още злоупотребата с Cobalt Strike от страна на групировки от национални държави, чиито операции съвпадат с тези на Русия, Китай, Виетнам и Иран, като добавиха, че са открили злонамерена инфраструктура, хостваща Cobalt Strike по целия свят, като се броят Китай, САЩ и Русия.

Правните мерки идват месеци след като Google Cloud идентифицира 34 различни хакнати версии на инструмента Cobalt Strike в реалността в опит да „затрудни злоупотребите на лошите момчета“.