Clicky

Operación policial mundial cierra 600 servidores de cibercrimen vinculados a Cobalt Strike

operación policial global

Cobalt Strike es una popular herramienta de prueba de penetración

Una operación coordinada de aplicación de la ley con el nombre en código MORPHEUS ha desactivado cerca de 600 servidores que eran utilizados por grupos de ciberdelincuentes y formaban parte de una infraestructura de ataque asociada con Cobalt Strike.

La supresión se centró en versiones más antiguas y sin licencia del sistema de equipos rojos Cobalt Strike entre el 24 y el 28 de junio, según Europol.

De las 690 direcciones IP que fueron señaladas a proveedores de servicios en línea en 27 países como asociadas con actividades delictivas, 590 ya no son accesibles.

La operación conjunta, que comenzó en 2021, fue dirigida por la Agencia Nacional contra el Crimen (NCA) del Reino Unido e involucró a autoridades de Australia, Canadá, Alemania, Países Bajos, Polonia y funcionarios estadounidenses de Bulgaria, Estonia, Finlandia, Lituania, Japón y Corea del Sur brindó apoyo adicional.

Cobalt Strike es una popular herramienta de prueba de penetración y simulación de adversarios desarrollada por Fortra (anteriormente Help Systems), que ofrece a los expertos en seguridad de TI una forma de identificar debilidades en las operaciones de seguridad y las respuestas a incidentes.

Sin embargo, como observaron anteriormente Google y Microsoft, las versiones descifradas del software han llegado a manos de actores maliciosos, que una y otra vez han abusado de él con fines posteriores para la explotación.

Según un reciente informe de la Unidad 42 de Palo Alto Networks, esto implica el uso de una carga útil llamada Beacon, que utiliza perfiles basados ​​en texto llamados Maleable C2 para alterar las características del tráfico web de Beacon en un intento de evitar la detección.

"Aunque Cobalt Strike es un software legítimo, lamentablemente los ciberdelincuentes han explotado su uso con fines nefastos", dijo en un comunicado Paul Foster, director de liderazgo de amenazas de la NCA.

"Las versiones ilegales han ayudado a reducir la barrera de entrada al cibercrimen, facilitando que los delincuentes en línea desaten dañinos ataques de ransomware y malware con poca o ninguna experiencia técnica. Estos ataques pueden costar a las empresas millones en términos de pérdidas y recuperación".

El desarrollo se produce cuando las fuerzas del orden españolas y portuguesas arrestaron a 54 personas por cometer delitos contra ciudadanos mayores a través de esquemas de vishing haciéndose pasar por empleados bancarios y engañarlos para que proporcionen información personal con el pretexto de rectificar un problema con sus cuentas.

Luego, los detalles se transmitían a otros miembros de la red criminal, quienes visitaban las casas de las víctimas sin previo aviso y las presionaban para que revelaran sus tarjetas de crédito, códigos PIN y datos bancarios. Algunos casos también involucraron el robo de dinero en efectivo y joyas.

En última instancia, el plan criminal permitió a los malhechores tomar el control de las cuentas bancarias de los objetivos o realizar retiros de efectivo no autorizados de cajeros automáticos y otras compras costosas.

"Utilizando una combinación de llamadas telefónicas fraudulentas e ingeniería social, los delincuentes son responsables de pérdidas por valor de 2.500.000 euros", dijo Europol a principios de esta semana.

"Los fondos fueron depositados en múltiples cuentas españolas y portuguesas controladas por los estafadores, desde donde fueron canalizados hacia un elaborado plan de lavado de dinero. Para ocultar el origen de los fondos ilícitos se utilizó una extensa red de mulas de dinero supervisadas por miembros especialistas de la organización".

Las detenciones también se producen tras una acción similar emprendida por INTERPOL para desmantelar redes de tráfico de personas en varios países incluido Laos, donde varios ciudadanos vietnamitas fueron atraídos con promesas de empleos bien remunerados, sólo para ser obligados a crear cuentas fraudulentas en línea para estafas financieras.

"Las víctimas trabajaron jornadas laborales de 12 horas, ampliadas a 14 horas si no reclutaban a otros, y se les confiscaron sus documentos", dijo la agencia. "Las familias fueron extorsionadas hasta con 10.000 dólares estadounidenses para asegurar su regreso a Vietnam".

La semana pasada, INTERPOL dijo que también confiscó activos por valor de 257 millones de dólares y congeló 6.745 cuentas bancarias luego de una operación policial global que abarcó 61 países y que se llevó a cabo para desbaratar las redes de estafas en línea y crimen organizado.

El ejercicio, conocido como Operación Primera Luz, tenía como objetivo el phishing, el fraude de inversiones, los sitios falsos de compras en línea, el romance y las estafas de suplantación de identidad. Condujo al arresto de 3.950 sospechosos e identificó a otros 14.643 posibles sospechosos en todos los continentes.

Jesus_Caceres