Europol haalt Cobalt Strike-servers offline die werden gebruikt door criminelen

Tijdens een internationale operatie van politiediensten zijn bijna 600 IP-adressen offline gehaald. Dat bevestigt Europol op woensdag. De servers daarachter draaiden licentieloze versies van de pentesttool Cobalt Strike en werden door criminelen gebruikt voor cyberaanvallen.

De actie tegen de Cobalt Strike-servers werd ook wel Operation Morpheus genoemd, schrijft Europol in een persbericht. De operatie werd geleid door de Britse National Crime Agency, in samenwerking met internationale politiediensten en enkele private bedrijven. Ook de Nederlandse politie nam deel aan de actie, terwijl Europol deze coördineerde. De operatie werd gericht op het tegengaan van crimineel misbruik van de Cobalt Strike-tool en vond plaats tussen 24 en 28 juni.

Tijdens Operation Morpheus hebben politiediensten meerdere IP-adressen geflagd, waarvan bekend is dat ze geassocieerd zijn met criminele activiteit, naast domeinnamen die worden gebruikt door criminele organisaties. Providers van onlinediensten konden deze gegevens gebruiken om ongelicentieerde versies van Cobalt Strike uit te schakelen. In totaal zijn 690 IP-adressen verstrekt, waarvan er tegen het einde van de week 593 offline waren gehaald.

Cobalt Strike is een legitieme tool voor cybersecurityexperts. De software wordt gebruikt om penetratietests uit te voeren, om zo zwaktes in IT-systemen te ontdekken. Gebruikers betalen jaarlijks licentiekosten en moeten eerst een screening ondergaan. Er zijn echter ook gekraakte oudere versies van de software in omloop, die criminelen kunnen gebruiken om echte cyberaanvallen uit te voeren. De tool kan gebruikt worden om op afstand toegang te krijgen tot IT-systemen en daar bijvoorbeeld malware of ransomware te installeren. Illegale versies van Cobalt Strikes zijn verbonden aan 'meerdere malware- en ransomwareonderzoeken', schrijft Europol, waaronder onderzoeken naar RYUK, Trickbot en Conti.