Europol ha desmantelado casi 600 direcciones IP como parte de un esfuerzo concertado para abordar los delitos cibernéticos relacionados con el uso indebido de la herramienta de seguridad Cobalt Strike. La operación, denominada Operación MORPHEUS, se llevó a cabo entre el 24 y el 28 de junio y tuvo como objetivo versiones más antiguas y sin licencia de la herramienta comúnmente utilizada en actividades delictivas.
“A lo largo de la semana, las fuerzas del orden señalaron direcciones IP conocidas asociadas con actividades delictivas, junto con una variedad de nombres de dominio utilizados por grupos delictivos, para que los proveedores de servicios en línea deshabilitaran las versiones sin licencia de la herramienta. Se señalaron un total de 690 direcciones IP a proveedores de servicios en línea en 27 países. Al final de la semana, se habían eliminado 593 de estas direcciones”, dijo Europol en un declaración.
⚠️Las fuerzas del orden se asociaron con el sector privado para detener a los delincuentes que abusan de Cobalt Strike para llevar a cabo ataques.
Una acción liderada por @NCA_ES y coordinado desde la sede de Europol dio como resultado la eliminación de 593 direcciones IP vinculadas a actividades delictivas.
Detalles ⤵️ pic.twitter.com/jJzrgOPh9t
—Europol (@Europol) 3 de julio de 2024
La Operación MORPHEUS fue dirigida principalmente por la Agencia Nacional contra el Crimen (NCA) del Reino Unido e implicó importantes contribuciones de autoridades de Australia, Canadá, Alemania, Países Bajos, Polonia y Estados Unidos. El Centro Europeo de Ciberdelincuencia (EC3) de Europol también desempeñó un papel en la coordinación de los esfuerzos internacionales y el enlace con socios del sector privado.
La NCA ha coordinado una acción global contra el software ilícito que los ciberdelincuentes han utilizado durante más de una década para infiltrarse en los sistemas informáticos de las víctimas y realizar ataques.
HISTORIA COMPLETA ➡️ pic.twitter.com/nV6cciRj9g
— Agencia Nacional contra el Crimen (NCA) (@NCA_UK) 3 de julio de 2024
Paul Foster, director de liderazgo en amenazas de la NCA, dicho que aunque Cobalt Strike es un software legítimo, los ciberdelincuentes han estado explotando su uso con “fines nefastos”.
Y añadió: “Las versiones ilegales han ayudado a reducir la barrera de entrada al ciberdelito, facilitando que los delincuentes en línea desaten ataques dañinos de ransomware y malware con poca o ninguna experiencia técnica. Estos ataques pueden costar a las empresas millones en términos de pérdidas y recuperación.
“Insto a cualquier empresa que pueda haber sido víctima de un delito cibernético a que se presente y denuncie dichos incidentes a las autoridades”.
¿Qué es un ataque Cobalt Strike?
Cobalt Strike, desarrollado por Fortra, es una herramienta de ciberseguridad legítima y ampliamente utilizada diseñada para ayudar a los profesionales de seguridad de TI a realizar simulaciones de ataques para descubrir vulnerabilidades. Sin embargo, puede explotarse de forma maliciosa cuando está en manos de ciberdelincuentes. Los informes sugieren que se han utilizado copias descifradas de versiones anteriores como Ryuk, Trickbot y Conti en varios casos de malware y ransomware de alto perfil.
Nos hemos asociado con Europol, la Agencia Nacional contra el Crimen del Reino Unido y varios otros socios privados para proteger el uso legítimo de Cobalt Strike.
-Fortra (@fortraofficial) 3 de julio de 2024
Para contrarrestar esta amenaza, Fortra ha colaborado con las autoridades para salvaguardar el uso legítimo de su software. “Fortra ha tomado medidas importantes para evitar el abuso de su software y se ha asociado con las autoridades a lo largo de esta investigación para proteger el uso legítimo de sus herramientas”, afirmó Europol.
Se dijo que la operación fue exitosa gracias a la cooperación de socios de la industria privada como BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch y The Shadowserver Foundation. Los socios proporcionaron herramientas de escaneo, telemetría y análisis para identificar y frenar el uso malicioso de Cobalt Strike.
El EC3 de Europol ha apoyado este proyecto desde su lanzamiento en septiembre de 2021, proporcionando asistencia analítica y forense. La plataforma de intercambio de información sobre malware también se utilizó ampliamente, con más de 730 piezas de inteligencia sobre amenazas compartidas, que contienen casi 1,2 millones de indicadores de compromiso.
Esta represión coordinada es parte de una estrategia más amplia habilitada por el Reglamento modificado de Europol, que fortalece su capacidad para apoyar a los Estados miembros de la UE fomentando la cooperación con el sector privado. Este enfoque estratégico ha mejorado significativamente la resiliencia del ecosistema digital de Europa frente a las ciberamenazas.
Imagen de portada: Ideograma
