Европол провел масштабную операцию под кодовым названием «Морфеус», направленную на борьбу с нелегальными версиями инструмента для пентестов Cobalt Strike, который киберпреступники использовали для взлома сетей организаций. В результате скоординированных действий правоохранительных органов удалось вывести из строя почти 600 серверов.
В конце июня были зафиксированы IP-адреса и доменные имена, связанные с вредоносной активностью. Собранные данные были переданы интернет-провайдерам, которые отключили нелицензионные версии инструмента. Европол отметил, что в период с 24 по 28 июня были предприняты меры по пресечению использования старых и нелицензионных версий Cobalt Strike. В операции «Морфеус» приняли участие правоохранительные органы из Австралии, Канады, Германии, Нидерландов, Польши и США, при поддержке Национального агентства по борьбе с преступностью Великобритании (NCA).
Кибербезопасностные компании BAE Systems Digital Intelligence, Trellix, Spamhaus и abuse.ch также оказали свою помощь. Cobalt Strike, легальный инструмент для тестирования на проникновение, уже более десяти лет используется преступниками для осуществления кибератак. Пиратские версии этого программного обеспечения позволяют киберпреступникам проникать в корпоративные сети и разворачивать программы-вымогатели.
Для решения этой проблемы международная оперативная группа под руководством NCA провела масштабную операцию, в ходе которой были обезврежены 690 экземпляров вредоносного ПО Cobalt Strike, обнаруженных у 129 интернет-провайдеров в 27 странах. Операция стала результатом более чем двух с половиной лет сотрудничества правоохранительных органов и частного сектора.
По итогам операции было выведено из строя 593 из 690 вредоносных серверов. Пол Фостер, директор по управлению угрозами NCA, отметил, что использование нелегальных версий Cobalt Strike значительно снизило барьер для входа в киберпреступность, позволив интернет-преступникам запускать программы-вымогатели и атаки с использованием вредоносного ПО без значительных технических знаний. Такие атаки могут наносить компаниям многомиллионные убытки.
NCA подчеркнуло, что нелегальные версии Cobalt Strike использовались в крупнейших кибератаках последних лет, таких как RYUK, Trickbot и Conti. Пол Фостер отметил, что подобные международные операции являются эффективным способом ослабить самых опасных киберпреступников, лишив их ключевых инструментов и сервисов.
