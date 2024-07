Una coalizione internazionale di forze dell’ordine è riuscita a far chiudere 593 server che fungevano da infrastruttura per cybercriminali che abusavano di Cobalt Strike.

L’intervento, a cui è stato assegnato il nome in codice Operazione Morpheus, è stata eseguita dalla National Crime Agency (NCA) della Gran Bretagna e coordinato dall’Europol, con la partecipazione di FBI e delle autorità di altri paesi, come Australia e Canada. L’operazione, iniziata il 24 giugno, è durata complessivamente una settimana e ha interessato 129 ISP sparsi in 27 paesi.

Cobalt Strike, in realtà, non è un malware ma uno strumento per la sicurezza informatica creato da Raphael Mudge nel 2012. Questo viene utilizzato per effettuare penetration test o altre simulazioni. In realtà, però, i criminali informatici abusano di esso per condurre attacchi reali con fini come il furto di dati o nel contesto dei temuti ransomware.

A commentare Operazione Morpheus è stato lo stesso direttore della Threat Leadership presso la NCA, Paul Foster, che ha sottolineato come l’abuso di Cobalt Strike, nelle sue versioni illegali, sia una pratica diffusa e pericolosa, in quanto permette anche ai cybercriminali alle prime armi di fare enormi danni.

A rendere l’intervento delle forze dell’ordine un successo è stata senza dubbio la collaborazione tra entità di diversi stati, così come la disponibilità di aziende private, come Abuse CH, BAE Systems Digital Intelligence, Shadowserver, Spamhaus e Trellix. Queste hanno infatti facilitato l’individuazione delle istanze dannose di Cobalt Strike.

Europol coordinates global action against criminal abuse of #cobaltstrike 🔥 We are very proud that together with our partner @SpamhausTech we are part of this international operation 👏 🎉

Indicators on rogue Cobalt Strike #botnet C2 servers related to the operation are… pic.twitter.com/FrNDbUPfTr

— abuse.ch (@abuse_ch) July 3, 2024