Cobalt Strike: El arma de doble filo en el ciberespacio
Cobalt Strike es una herramienta comercial post-explotación, para la simulación de adversarios y ejercicios de Red Team. Por medio de esta herramienta es posible instalar un agente conocido como beacon o baliza en una red de destino. Cobalt Strike cuenta con diferentes capacidades como ejecución de comandos, keylogging, transferencia y ejecución de archivos, elevación de privilegios, movimientos laterales, entre otras.
¿Qué hace a Cobalt Strike atractivo para los cibercriminales?
Debido a las capacidades mencionadas, Cobalt Strike es ampliamente utilizado por actores de amenazas para realizar ataques y distribuir malware, incluido ransomware. Los atacantes suelen utilizar licencias robadas, versiones antiguas y manipuladas o crackeadas de esta herramienta, que se distribuye por medios ilegítimos como foros de la Dark Web o canales de redes sociales dedicados a la distribución de software pirata.
¿Podría ser yo una víctima?
A lo largo del tiempo, se han hecho públicos diferentes ataques como el que se cometió contra el gobierno de Costa Rica en abril de 2022, donde el grupo de ransomware Conti utilizó Cobalt Strike para establecer una puerta trasera. Más recientemente, se ha observado que operadores del malware GootLoader distribuyen documentos maliciosos por medio de envenenamiento de posicionamiento SEO (por sus siglas en inglés, Search Engine Optimization) o SEO Poisoning (técnica que emplean los cibercriminales, creando muchas publicaciones en sitios legítimos que incluyen enlaces a los sitios web del actor de amenazas), con el objetivo de instalar beacons de Cobalt Strike en redes corporativas.
En ese mismo sentido, con base en nuestra telemetría, los operadores de familias de ransomware como LockBit 3.0, BlackCat y Cl0p, entre otras, también utilizan Cobalt Strike durante su cadena de infección para realizar actividades de reconocimiento de red, ejecución de comandos y movimientos laterales.
Los cibercriminales aprovechan Cobalt Strike en sus ataques por su eficacia en intrusiones y su versatilidad en la distribución de malware como ransomware. Además, el uso de técnicas como el envenenamiento de SEO para propagarlo junto a la falta o deficiencia en las medidas de seguridad, puede hacer a una organización o usuario vulnerable a un ataque.
Conclusión
Cobalt Strike es una herramienta legítima usada por cibercriminales por sus poderosas capacidades. Ha facilitado múltiples ataques que involucran la distribución de ransomware, evidenciando la amenaza que representa para usuarios y organizaciones. Es importante implementar medidas preventivas tales como realizar campañas de concientización acerca de las formas de distribuir malware, mantener dispositivos, software y aplicaciones actualizadas, y monitorear constantemente la red. Además, es esencial que las organizaciones mantengan una postura de seguridad proactiva manteniéndose actualizadas acerca de las tácticas, técnicas y procedimientos (TTPs) utilizados por actores de amenaza, para poder actuar de manera anticipada.
Fuentes:
https://www.redlegg.com/blog/security-blog-cobalt-2022-october
https://www.coresecurity.com/products/cobalt-strike
https://malpedia.caad.fkie.fraunhofer.de/details/win.cobalt_strike
https://unit42.paloaltonetworks.com/cobalt-strike-malleable-c2-profile/
https://redcanary.com/blog/grief-ransomware/
https://www.hackread.com/microsoft-fortra-cobalt-strike-infrastructure/
https://www.mandiant.com/resources/blog/defining-cobalt-strike-components
https://www.cfc.com/en-gb/resources/case-studies/incident-prevention/cobalt-strike-infection/
https://cyberscoop.com/microsoft-cobalt-strike-hacking-tool/
https://www.esecurityplanet.com/threats/how-cobalt-strike-became-a-favorite-tool-of-hackers/