Een gecoördineerde rechtshandhavingsoperatie met de codenaam MORPHEUS heeft bijna 600 servers platgelegd die werden gebruikt door cybercriminele groepen en deel uitmaakten van een aanvalsinfrastructuur die verband hield met de Cobalt Strike.
Volgens Europol was de aanpak gericht op oudere, niet-gelicentieerde versies van het red teaming-raamwerk Cobalt Strike tussen 24 en 28 juni.
Van de 690 IP-adressen die bij online dienstverleners in 27 landen zijn gemeld als geassocieerd met criminele activiteiten, zijn er 590 niet langer toegankelijk.
De gezamenlijke operatie, die in 2021 van start ging, werd geleid door de Britse National Crime Agency (NCA) en omvatte autoriteiten uit Australië, Canada, Duitsland, Nederland, Polen en de VS. Ambtenaren uit Bulgarije, Estland, Finland, Litouwen, Japan en Zuid-Korea boden aanvullende ondersteuning.
Cobalt Strike is een populaire tool voor het simuleren van tegenstanders en het uitvoeren van penetratietests, ontwikkeld door Fortra (voorheen Help Systems). Het biedt IT-beveiligingsexperts een manier om zwakke plekken in beveiligingsactiviteiten en reacties op incidenten te identificeren.
Zoals Google en Microsoft eerder al constateerden, zijn gekraakte versies van de software echter in handen gevallen van kwaadwillenden, die de software keer op keer misbruiken voor ‘post-exploitation’-doeleinden.
Volgens een recent rapport van Palo Alto Networks Unit 42 wordt hierbij gebruikgemaakt van een payload met de naam Beacon. Deze payload gebruikt tekstgebaseerde profielen met de naam Malleable C2 om de kenmerken van Beacons webverkeer te wijzigen en zo detectie te voorkomen.
“Hoewel Cobalt Strike legitieme software is, hebben cybercriminelen er helaas misbruik van gemaakt voor duistere doeleinden”, aldus Paul Foster, directeur dreigingsleiderschap bij de NCA, in een verklaring.
“Illegale versies ervan hebben geholpen de drempel voor cybercriminaliteit te verlagen, waardoor het voor online criminelen makkelijker is geworden om schadelijke ransomware- en malware-aanvallen uit te voeren met weinig of geen technische expertise. Zulke aanvallen kunnen bedrijven miljoenen kosten in termen van verliezen en herstel.”
Deze ontwikkeling komt nadat Spaanse en Portugese wetshandhavers 54 mensen hebben gearresteerd voor het plegen van misdaden tegen ouderen via vishing-praktijken. Hierbij deden de criminelen zich voor als bankmedewerkers en probeerden ze hen te misleiden om persoonlijke gegevens te verstrekken, onder het mom van het oplossen van een probleem met hun rekeningen.
De details werden vervolgens doorgegeven aan andere leden van het criminele netwerk, die onaangekondigd de huizen van de slachtoffers bezochten en hen onder druk zetten om hun creditcards, pincodes en bankgegevens af te geven. In sommige gevallen ging het ook om diefstal van contant geld en sieraden.
Dankzij het criminele plan konden de criminelen uiteindelijk de bankrekeningen van hun slachtoffers overnemen of ongeautoriseerd geld opnemen bij geldautomaten en andere dure aankopen doen.
“Door een combinatie van frauduleuze telefoongesprekken en social engineering zijn de criminelen verantwoordelijk voor een verlies van € 2.500.000”, aldus Europol eerder deze week.
“De fondsen werden gestort op meerdere Spaanse en Portugese rekeningen die door de fraudeurs werden beheerd, vanwaar ze werden doorgesluisd naar een uitgebreid witwasplan. Een uitgebreid netwerk van geldkoeriers onder toezicht van gespecialiseerde leden van de organisatie werd gebruikt om de herkomst van de illegale fondsen te verhullen.”
De arrestaties volgen op soortgelijke acties die INTERPOL ondernam om in verschillende landen, waaronder Laos, netwerken van mensenhandelaars op te rollen. Daar werden verschillende Vietnamezen gelokt met beloftes van goedbetaalde banen, maar werden ze vervolgens gedwongen om frauduleuze onlineaccounts aan te maken voor financiële oplichting.
“Slachtoffers werkten 12 uur per dag, verlengd tot 14 uur als ze er niet in slaagden anderen te rekruteren, en hun documenten werden in beslag genomen,” aldus het agentschap. “Families werden afgeperst tot wel 10.000 USD om hun terugkeer naar Vietnam veilig te stellen.”
Vorige week meldde INTERPOL dat het ook 257 miljoen dollar aan tegoeden in beslag had genomen en 6.745 bankrekeningen had bevroren na een wereldwijde politieoperatie in 61 landen die was uitgevoerd om online oplichtingspraktijken en georganiseerde misdaadnetwerken te ontwrichten.
De oefening, bekend als Operation First Light, richtte zich op phishing, beleggingsfraude, nep-online shopping sites, romantiek en imitatiescams. Het leidde tot de arrestatie van 3.950 verdachten en identificeerde 14.643 andere mogelijke verdachten op alle continenten.
