La guerre contre la cybercriminalité continue. Europol annonce avoir mené une opération d’envergure à l’encontre des cybercriminels derrière Cobalt Strike. Massivement exploité par les pirates, le malware est conçu pour infiltrer des réseaux informatiques et en prendre le contrôle.
Avec l’appui des forces de police de plusieurs pays, dont l’Allemagne, le Royaume-Uni et les États-Unis, Europol est parvenu à mettre hors ligne 593 serveurs de l’infrastructure Cobalt Strike. L’offensive a été baptisée « Opération Morpheus ».
À lire aussi : Victimes de cyberattaques, les hackers de Lockbit cherchent à se protéger
Un logiciel légitime détourné par les cybercriminels
Du 24 au 28 juin 2024, les agents d’Europol ont identifié 690 adresses IP associées à des activités criminelles, ainsi que des noms de domaine. Ils ont alors prévenu les « fournisseurs de services en ligne » qui proposent Cobalt Strike.
Comme le rappelle Europol, Cobalt Strike est un logiciel utilisé pour des simulations d’attaques. Développé par la société Fortra il y a plus de dix ans, il est particulièrement prisé par les équipes de sécurité pour évaluer la résilience des systèmes informatiques face aux attaques. Malheureusement, il a été détourné de ses objectifs initiaux pour déployer des cyberattaques. En fait, « des versions plus anciennes de Cobalt Strike » ont été volées par des hackers. Ceux-ci ont alors créé « des copies craquées » de l’outil, sans licence d’exploitation. En gros, il s’agit de copies pirates.
Dès lors, Fortra n’avait qu’à désactiver les versions dépourvues de licence du logiciel pour entraver les activités des pirates. Sur base des informations collectées par la police, la société a pu prendre les mesures nécessaires pour désactiver les itérations de Cobalt Strike exploitées par des cybercriminels. Fortra devait simplement localiser les serveurs sur lesquelles tournent les versions pirates pour pouvoir agir. Europol indique que « Fortra a pris des mesures importantes pour prévenir l’abus de son logiciel et s’est associé aux forces de l’ordre tout au long de cette enquête pour protéger l’utilisation légitime de ses outils ». Pour Europol, il s’agit « de l’aboutissement d’une enquête complexe ouverte en 2021 ».
Un coup dur pour les ransomwares
Cobalt Strike a notamment été utilisé par des gangs spécialisés dans les attaques par ransomware. D’après Europol, des grands noms de l’extorsion, comme Ryuk, Trickbot et Conti, se sont massivement servis de l’outil pour pouvoir orchestrer leurs cyberattaques. Le démantèlement de Cobalt Strike devrait contribuer à réduire le nombre d’attaques par ransomware, en résurgence depuis quelques mois.
L’opération Morpheus fait suite à plusieurs offensives des forces de l’ordre à l’encontre de la cybercriminalité. Il y a quelques semaines, Europol a déjà diligenté « Endgame », qui est considéré comme « la plus grande opération jamais réalisée » contre les malwares. Dans le cadre de cette offensive, la police européenne a court-circuité des virus comme IcedID, SystemBC, Pikabot, Smokeloader, ou Bumblebee, des malwares très prisés par les professionnels de l’extorsion.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Europol
Ça fait penser à Kali Linux qui a la base était prévu pour des tests de pénétrations (pentest), un OS détourné par les hackers au vu des nombreux outils qu’embarquent ce système d’exploitations qui n’est pas à la portée de tous.