Une opération d’Europol frappe les utilisations malveillantes de Cobalt Strike

Europol a annoncé, le 3 juillet 2024, avoir coordonné, entre le 24 et le 28 juin 2024, une opération de lutte contre les usages criminels de Cobalt Strike, un outil de cybersécurité « red team ». Ce logiciel, édité par Fortra, permet de simuler des attaques informatiques et d’identifier des vulnérabilités sur des SI. Il s’avère en cela très utile pour soutenir un acteur malveillant.

Selon Europol, des cybercriminels ont pu, « en de rares occasions », voler d’anciennes versions ou créer des copies pirates de Cobalt Strike. « Ces versions sans licence ont été liées à de multiples enquêtes sur des logiciels malveillants et des ransomwares, notamment celles sur Ryuk, Trickbot et Conti », précise Europol. 

Menée par la National Crime Agency (NCA) britannique, l’opération, baptisée « Morpheus », est l’aboutissement d’une enquête démarrée en 2021. Elle a fédéré les autorités policières d’Allemagne, d’Australie, du Canada, des États-Unis, des Pays-Bas, de Pologne et du Royaume-Uni, et des acteurs du secteur privé.
« Les forces de l’ordre ont signalé les adresses IP connues associées à des activités criminelles, ainsi qu’une série de noms de domaine utilisés par des groupes criminels, afin que les fournisseurs d’accès à Internet désactivent les versions sans licence de [Cobalt Strike]. Au total, 690 adresses IP ont été signalées à des fournisseurs d’accès à Internet dans 27 pays. À la fin de la semaine, 593 de ces adresses avaient été désactivées », indique Europol.