ChannelPartner
Alternatives Drucklayout:
› reiner Text
Link: https://www.channelpartner.de/a/weltweite-aktion-gegen-cobalt-strike-user,3693410

Kriminelle Server abgeschaltet

Weltweite Aktion gegen Cobalt-Strike-User

Datum:12.07.2024
Autor(en):Tristan  Fincken, Julia Mutzbauer
Internationalen Ermittlern ist ein Schlag gegen den Missbrauch von Cobalt Strike gelungen. Rund 600 kriminelle Server wurden abgeschaltet.

Bei einer internationalen Ermittlungsaktion wurden 690 IP-Adressen und Domains gesammelt, die mit dem Missbrauch von Cobalt Strike in Verbindung stehen.
Foto: Gorodenkoff - shutterstock.com

Im Rahmen der von Europol1 koordinierten Operation Morpheus wurden rund 600 Server vom Netz genommen, die im Zusammenhang mit dem Missbrauch von Cobalt Strike stehen. Nach Angaben der Behörde wurden dazu zwischen dem 24.und 28. Juli insgesamt 690 IP-Adressen und Domains aus 27 Ländern gesammelt, die mit kriminellen Aktivitäten in Verbindung stehen. Die Ermittlungen dafür starteten bereits im September 2021.

An der Ermittlungsaktion waren Sicherheitsbehörden aus mehreren Ländern beteiligt - darunter aus Deutschland, Polen, Australien, den Vereinigten Staaten und Kanada. Die Leitung der Operation hat die britische National Crime Agency (NCA) übernommen.

Cobalt Strike ist ein kommerzielles Remote-Access-Tool (RAT), das eigentlich für Penetrationstests eingesetzt wird. In den falschen Händen können unlizenzierte Kopien von Cobalt Strike böswilligen Akteuren jedoch eine Vielzahl von Angriffsmöglichkeiten bieten.

"Obwohl Cobalt Strike eine legitime Software ist, haben Cyberkriminelle sie leider für schändliche Zwecke missbraucht", kommentiert Paul Foster2, Director of Threat Leadership bei de NCA. "Illegale Versionen haben dazu beigetragen, die Einstiegshürde in die Cyberkriminalität zu senken, wodurch es für Online-Kriminelle einfacher geworden ist, schädliche Ransomware- und Malware-Angriffe mit wenig oder gar keinem technischen Fachwissen durchzuführen". Angriffe dieser Art könnten könnte einen großen finanziellen Schaden in Unternehmen anrichten, warnt Foster.

Solche nicht lizenzierten Cobalt-Strike-Versionen wurden bereits in mehreren Untersuchungen zu Malware und Ransomware aufgeführt, darunter die Untersuchungen zu RYUK, Trickbot 3und Conti4.

Links im Artikel:

1 https://www.europol.europa.eu/media-press/newsroom/news/europol-coordinates-global-action-against-criminal-abuse-of-cobalt-strike
2 https://www.nationalcrimeagency.gov.uk/news/national-crime-agency-leads-international-operation-to-degrade-illegal-versions-of-cobalt-strike
3 https://www.csoonline.com/de/a/trickbot-erweckt-emotet-zu-neuem-leben,3671983
4 https://www.csoonline.com/de/a/ransomware-bande-conti-will-russland-unterstuetzen,3673791
IDG Tech Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.