Europol hat sich mit zahlreichen Security-Anbietern zusammengetan, um den Missbrauch des Sicherheitstools Cobalt Strike durch Cyberkriminelle zu bekämpfen. Zwischen dem 24. und 28. Juni wurden nicht lizenzierte Versionen des Red-Teaming-Tools ins Visier genommen, die für kriminelle Zwecke miss­braucht wurden, wie es in einer Mitteilung heisst.

Während der gesamten Woche haben Ermittlerinnen und Ermittler IP-Adressen, die mit kriminellen Aktivitäten in Verbindung gebracht wurden, gekennzeichnet, damit die Anbieter die nicht lizenzierten Versionen des Tools deaktivieren konnten. Insgesamt wurden 690 IP-Adressen in 27 Ländern gemeldet. Bis zum Ende der Woche wurden 593 dieser Adressen gesperrt.

Die Operation "Morpheus" wurde von der britischen National Crime Agency (NCA) geleitet und durch Strafverfolgungsbehörden aus Australien, Kanada, Deutschland, den Niederlanden, Polen und den Vereinigten Staaten unter­stützt. Europol koordinierte die internationalen Aktivitäten und stellte die Verbindung zu den privaten Partnern her.

Cobalt Strike ist ein kommerzielles Tool, das vom Cybersecurity-Unternehmen Fortra angeboten wird. Es wurde entwickelt, um legitime IT-Sicherheits­ex­perten bei der Durchführung von Angriffssimulationen zu unterstützen, die Schwachstellen in Sicherheitsabläufen und bei der Reaktion auf Vorfälle aufzeigen. In den falschen Händen kann das Programm aber eine breite Palette von Angriffsmöglichkeiten bieten.

Fortra hat laut Europol erhebliche Schritte unternommen, um den Missbrauch seiner Software zu verhindern. Das Unternehmen hat während der Unter­suchung mit den Strafverfolgungsbehörden zusammengearbeitet. In seltenen Fällen haben Cyberkriminelle ältere Versionen von Cobalt Strike gestohlen und Kopien davon erstellt, um Rechner über Hintertüren mit Malware zu infizieren.

Solche nicht lizenzierten Versionen des Tools wurden mit mehreren Malware- und Ransomware-Angriffen in Verbindung gebracht, darunter Vorfälle mit Verbindungen zu Ryuk, Trickbot und Conti.

Wie Europol schreibt, war die Zusammenarbeit mit dem Privatsektor entscheidend für den Erfolg der Störungsaktion. Eine Reihe von Partnern aus der Privatwirtschaft unterstützten die Aktion, darunter Bae Systems Digital Intelligence, Trellix, Spamhaus, Abuse.ch und die Shadowserver Foundation. Diese setzten Scan-, Telemetrie- und Analysefunktionen ein, um bösartige Aktivitäten und die Nutzung durch Cyberkriminelle zu identifizieren.

Dieser neuartige Ansatz war dank der geänderten Europol-Verordnung möglich, die die Fähigkeit der Agentur gestärkt hat, die EU-Mitgliedstaaten besser zu unterstützen, auch durch die Zusammenarbeit mit dem Privatsektor. So erhält Europol Zugang zu Echtzeit-Bedrohungsdaten und eine breitere Perspektive auf die Taktiken von Cyberkriminellen.

Die Strafverfolgungsbehörden nutzten die Malware Information Sharing Platform, die es auch Security-Anbietern ermöglicht, Bedrohungsdaten in Echtzeit mit den Strafverfolgungsbehörden zu teilen. Während der gesamten Ermittlungen wurden über 730 Informationen über Bedrohungen ausge­tauscht, die fast 1,2 Millionen Hinweise auf eine Gefährdung enthielten.

Während der Aktionswoche richtete Europol eine virtuelle Einsatzzentrale ein, um die Strafverfolgungsmassnahmen in der ganzen Welt zu koordinieren. Auch ein Ende der Aktion sei noch nicht in Sicht: "Die Straf­verfolgungs­behörden werden weiterhin ähnliche Massnahmen überwachen und durch­führen, solange Kriminelle ältere Versionen des Tools missbrauchen", hiess es von Europol.