微软对非法 Cobalt Strike 软件的打击是新一轮反勒索软件战役的一部分

微软与合作方打击网络犯罪，减少Cobalt Strike盗版使用

关键要点

微软、Fortra和健康信息共享与分析中心(HealthISAC)近期加大了打击网络犯罪的力度，特别是针对盗版渗透测试工具Cobalt Strike的使用。越来越多的网络犯罪分子在其攻击活动中利用了被破解的Cobalt Strike工具，造成了大量恶意软件攻击。Cobalt Strike原本是安全专家用以模拟公司攻击面的合法工具，但现在却已被犯罪分子滥用。

“我们的行动主要集中在打击被破解的过时Cobalt Strike副本和被损坏的微软软件，”微软数字犯罪部的总经理艾米霍根伯尼Amy HoganBurney在周四的一篇博客中写道。

为了达成这一目标，微软、Fortra和HealthISAC已获得美国纽约东区地方法院的法院命令，该命令允许这三家单位与互联网服务提供商及计算机应急响应团队CERTs合作，关闭网络中分发盗版Cobalt Strike的软件基础设施。

“我们决心打击网络犯罪分子的非法分发方式，”微软官员在公告中表示。“我们需要保持坚定，努力打掉全球范围内的盗版Cobalt Strike副本。”

根据霍根伯尼的说法，此次法院命令将加强调查工作，包括检测、分析、遥测和逆向工程。额外的数据和见解将有助于强化相关的法律案件。

此外，微软、Fortra和HealthISAC表示，将与FBI、国家网络调查联合工作组和Europol的欧洲网络犯罪中心在相关案件中合作，共同应对网络安全威胁。

针对勒索软件攻击的新策略

微软指出，许多旧版渗透测试工具仍然被网络犯罪分子滥用和改变。例如，某些“破解”的非法副本曾导致哥斯达黎加政府遭受重大破坏以及对爱尔兰健康服务执行局HSE的重大攻击。

根据微软的数据，盗版Cobalt Strike背后的勒索软件家族已在19个国家对医疗机构发起了68次勒索软件攻击。例如，针对爱尔兰HSE的攻击导致超过五个月的网络停机，导致数据泄露、患者护理延误、紧急护理中断及预约取消。这一网络攻击的成本据估计超过6亿美元，其他使用Cobalt Strike的医疗系统也面临类似的影响。

打击盗版软件的分发形式标志着与以往针对恶意软件黑客指挥控制中心的干扰努力的不同。例如，2022年4月，微软与ESET、Black Lotus Labs、Palo Alto Networks、HealthISAC以及金融服务ISAC共同拆解了Zloader僵尸网络。

微软还计划扩大法律手段，以进一步打击利用非法软件的恶意软件和国家行为者。微软表示：“通过这样做，团队希望显著减少这些盗版副本的盈利能力，并减缓它们在网络攻击中的使用，迫使犯罪分子重新评估和改变其战术。”

“虽然这一行动将影响犯罪分子的即时操作，但我们完全预料到他们会尝试恢复其努力，”霍根伯尼写道。“因此，我们的行动并非一劳永逸。”该团队计划继续采取法律和技术行动，“以监测和打击进一步的犯罪活动。”