Las autoridades desmantelan servidores ilegales en 27 países.
En una operación internacional a gran escala, las fuerzas del orden han desmantelado cientos de instalaciones ilegales de la popular herramienta de hacking Cobalt Strike. La Agencia Nacional contra el Crimen del Reino Unido (NCA) informó que se neutralizaron 690 direcciones IP que alojaban versiones maliciosas de este software en 27 países.
Cobalt Strike, desarrollado inicialmente en 2012 como una herramienta para pruebas de penetración, se ha convertido en la última década en una herramienta favorita tanto de hackers estatales como de grupos criminales especializados en ataques de ransomware. Aunque el programa está destinado a fines legítimos, es muy conveniente para la intrusión en redes. No es sorprendente que versiones piratas se hayan propagado por todo internet.
Los analistas señalan que Cobalt Strike se usa frecuentemente en ataques de phishing para instalar «balizas» en los dispositivos de las víctimas, lo que permite a los hackers acceder remotamente al sistema y recopilar información sobre él. Don Smith, vicepresidente de investigación de amenazas en Secureworks Counter Threat Unit, describió esta herramienta como la «navaja suiza de los cibercriminales y hackers estatales» debido a su multifuncionalidad.
La operación contra el uso ilegal de Cobalt Strike no solo incluyó la desconexión de servidores, sino también el envío de notificaciones a los proveedores de internet sobre la posible presencia de software malicioso en sus recursos. Paul Foster, director de amenazas en NCA, destacó que las versiones ilegales del programa han reducido significativamente la barrera de entrada a la ciberdelincuencia, permitiendo a hackers llevar a cabo ataques devastadores con habilidades técnicas mínimas.
A pesar del éxito de la operación, los expertos advierten que la amenaza sigue siendo relevante. Según Don Smith de Secureworks, aunque la destrucción de la infraestructura criminal es sin duda un gran logro, tanto los grupos criminales como los hackers estatales casi con certeza tienen planes de contingencia para situaciones como esta.
La empresa Fortra, actual propietaria de Cobalt Strike, expresó su disposición a seguir colaborando con las autoridades para identificar y eliminar versiones obsoletas del programa de internet. Inicialmente, NCA anunció el lanzamiento de una nueva versión del programa con «medidas de seguridad reforzadas», aunque más tarde se retractó de esta declaración.
A pesar de los esfuerzos de Fortra para proteger su producto, los delincuentes a veces lograban acceder a versiones antiguas de Cobalt Strike. Los malhechores creaban copias pirateadas del programa, que utilizaban para infiltrarse en sistemas informáticos y propagar malware. Las fuerzas del orden se han encontrado repetidamente con versiones no licenciadas de Cobalt Strike durante investigaciones de ciberataques importantes. En particular, esta herramienta ha estado involucrada en casos relacionados con programas de ransomware peligrosos como RYUK, Trickbot y Conti.