Im Rahmen der von Europol koordinierten Operation Morpheus wurden rund 600 Server vom Netz genommen, die im Zusammenhang mit dem Missbrauch von Cobalt Strike stehen. Nach Angaben der Behörde wurden dazu zwischen dem 24.und 28. Juli insgesamt 690 IP-Adressen und Domains aus 27 Ländern gesammelt, die mit kriminellen Aktivitäten in Verbindung stehen. Die Ermittlungen dafür starteten bereits im September 2021.
An der Ermittlungsaktion waren Sicherheitsbehörden aus mehreren Ländern beteiligt - darunter aus Deutschland, Polen, Australien, den Vereinigten Staaten und Kanada. Die Leitung der Operation hat die britische National Crime Agency (NCA) übernommen.
Cobalt Strike ist ein kommerzielles Remote-Access-Tool (RAT), das eigentlich für Penetrationstests eingesetzt wird. In den falschen Händen können unlizenzierte Kopien von Cobalt Strike böswilligen Akteuren jedoch eine Vielzahl von Angriffsmöglichkeiten bieten.
"Obwohl Cobalt Strike eine legitime Software ist, haben Cyberkriminelle sie leider für schändliche Zwecke missbraucht", kommentiert Paul Foster, Director of Threat Leadership bei de NCA. "Illegale Versionen haben dazu beigetragen, die Einstiegshürde in die Cyberkriminalität zu senken, wodurch es für Online-Kriminelle einfacher geworden ist, schädliche Ransomware- und Malware-Angriffe mit wenig oder gar keinem technischen Fachwissen durchzuführen". Angriffe dieser Art könnten könnte einen großen finanziellen Schaden in Unternehmen anrichten, warnt Foster.
Solche nicht lizenzierten Cobalt-Strike-Versionen wurden bereits in mehreren Untersuchungen zu Malware und Ransomware aufgeführt, darunter die Untersuchungen zu RYUK, Trickbot und Conti.