Microsoft обращается к суду с требованием отключить хакерский инструмент для вымогателей, нацеленный на больницы

Microsoft и группа фирм, занимающихся кибербезопасностью, получили помощь от судов в связи с массовым удалением в четверг печально известного хакерского инструмента, который был использован киберпреступниками для нападения на больницы и системы здравоохранения.

Объединив усилия с фирмой по кибербезопасности Fortra и Центром обмена и анализа медицинской информации (H-ISAC), фирмы подали заявку и получили судебный приказ, направленный на удаление контрафактных версий программного обеспечения Fortra Cobalt Strike. В прошлую пятницу Окружной суд США Восточного округа Нью-Йорка выдал судебный приказ организациям, позволяющий им конфисковать доменные имена, на которых злоумышленники хранили «взломанные» версии программного обеспечения.

В течение многих лет вредоносная версия инструмента, изначально разработанная для того, чтобы позволить компаниям проверять свою киберзащиту, использовалась злоумышленниками, запускающими атаки программ-вымогателей на ничего не подозревающих жертв.

По данным Microsoft, семейства программ-вымогателей, связанные со взломанными копиями Cobalt Strike, «были связаны с более чем 68 атаками программ-вымогателей, затронувшими организации здравоохранения в более чем 19 странах мира», что стоило больничным системам «миллионы долларов затрат на восстановление и ремонт». плюс перерывы в оказании критически важных услуг по уходу за пациентами, включая задержку результатов диагностики, визуализации и лабораторных исследований, отмену медицинских процедур и задержки в проведении химиотерапии».

Пока больницы боролись с пандемией коронавируса по всей территории США, киберпреступники активизировали разрушительные кибератаки, предназначенные для блокировки компьютерных сетей, содержащих данные пациентов, в обмен на огромные выкупы. Анализ, проведенный Агентством кибербезопасности и безопасности инфраструктуры (CISA), показал, что такие атаки оказывают долгосрочное негативное влияние на больницы, вызывая больше отклонений от маршрутов скорой помощи и увеличивая смертность.

Более старые незаконные копии программного обеспечения Cobalt Strike, часто называемые «взломанными» версиями, были использованы преступниками в ходе серии громких атак, в том числе направленных против правительства Коста-Рики и Управления здравоохранения Ирландии. Майкрософт.

По крайней мере две печально известные русскоязычные банды вымогателей — Conti и LockBit — числятся среди 16 ответчиков, согласно постановлению суда, полученному CBS News.

«Хотя точные личности тех, кто проводит преступные операции, в настоящее время неизвестны, мы обнаружили вредоносную инфраструктуру по всему миру, в том числе в Китае, США и России», — говорится в сообщении Microsoft. «Помимо финансово мотивированных киберпреступников мы наблюдали злоумышленников, действующих в интересах иностранных правительств, в том числе из России, Китая, Вьетнама и Ирана, использующих взломанные копии».

«Мы также собираемся сделать то, что мы называем «sinkholing», что означает перенаправление этих доменов в Microsoft, чтобы мы могли идентифицировать любых жертв. Мы будем работать с другими людьми по всему миру, чтобы помочь исправить эти жертвы», — сказала Эми Хоган-Берни. , генеральный менеджер и заместитель генерального юрисконсульта по политике и защите кибербезопасности в Microsoft.

Пятничный юридический шаг знаменует собой редкие действия технологического лидера по нацеливанию инструментов и тактики злонамеренных хакеров на санкционированное постановление суда. Исследователи, возглавляемые подразделением Microsoft по расследованию цифровых преступлений, состоящим из 35 человек, приступили к разработке правовой стратегии более года назад совместно с Fortra и H-ISAC.

Microsoft ранее использовала гражданские приказы об аресте доменов и IP-адресов, связанных с конкретным вредоносным ПО, но постановление суда в пятницу знаменует собой первый случай, когда технический лидер попытался уничтожить вредоносный хакерский инструмент такого масштаба.

«Некоторые из судебных исков аналогичны действиям, которые мы предпринимали в прошлом, но их масштаб намного шире, чем то, что мы делали», — сказал Хоган-Бурей.

По словам Хоган-Берни, Microsoft уже начала изучать хакерские инструменты, на которые, по ее мнению, перейдут киберпреступники после разгона Cobalt Strike. И хотя судебный иск, поданный в пятницу, не помешает киберпреступникам напрямую использовать взломанное программное обеспечение, Хоган-Берни называет его важным первым шагом.

Microsoft и Fortra получили временный запретительный судебный приказ против тех, кто нарушает авторские права на их программы, чтобы разрешить более быстрое закрытие вредоносных версий программного обеспечения. Но постановление суда, вынесенное в пятницу, также позволяет Microsoft, Fortra и H-ISAC в будущем проводить аресты по мере того, как преступники разрабатывают новую инфраструктуру.

«[Этот судебный приказ] позволяет нам продолжать это делать», — добавил Хоган-Берни. «После того, как сегодня мы выполним временный запретительный судебный приказ, мы собираемся добиваться постоянного судебного запрета, поскольку считаем, что киберпреступники продолжат эту деятельность. Они будут пытаться перенести хостинг [сайты] для взломанных версий Cobalt Strike, поскольку это инструмент для них. И мы будем продолжать преследовать их».