Cobalt Strike: El aumento alarmante de su uso malicioso por parte de ciberdelincuentes

El aumento del uso malicioso de Cobalt Strike

El popular programa de prueba de penetración Cobalt Strike, utilizado por las organizaciones para mejorar su seguridad, está siendo adoptado por los ciberdelincuentes para ayudar a vulnerar su seguridad. Según un informe publicado por el proveedor de seguridad Proofpoint, Cobalt Strike experimentó un aumento del 161% en su uso malicioso entre 2019 y 2020, y se considera una amenaza de alto volumen para 2021.

Una herramienta de acceso inicial para atacantes

Proofpoint analizó el uso ilegítimo de Cobalt Strike y encontró que cada vez más los atacantes lo utilizan como una carga inicial de acceso, es decir, lo utilizan para desplegar la carga inicial maliciosa en las máquinas de las víctimas. Esto representa un cambio respecto a los casos anteriores en los que Cobalt Strike se utilizaba como una herramienta de segunda etapa, una vez que los sistemas objetivo ya habían sido accedidos.

Origen y función de Cobalt Strike

Cobalt Strike fue lanzado por primera vez en 2012 como una herramienta para ayudar a las organizaciones a detectar vulnerabilidades en sus defensas de seguridad. El programa simula un ataque real de actores avanzados de amenazas, mostrando a los usuarios exactamente dónde se encuentran sus debilidades y qué aspectos necesitan mejorar. En 2015, Cobalt Strike 3.0 se lanzó como un programa independiente de emulación de adversarios. Poco después, en 2016, Proofpoint ya había comenzado a detectar el uso malicioso de esta herramienta por parte de los ciberdelincuentes.

Formas de obtener Cobalt Strike

Los ciberdelincuentes pueden obtener Cobalt Strike a través de diferentes recursos. Pueden comprarlo directamente al proveedor, aunque esto requiere verificación. Pueden obtener una versión en la Dark Web a través de diferentes foros de hackers. Incluso pueden encontrar versiones ilegítimas del programa. Según Proofpoint, en marzo de 2020 se puso a disposición de los atacantes una versión crackeada de Cobalt Strike 4.0.

Uso extendido de Cobalt Strike entre los atacantes comunes

Anteriormente, el uso de Cobalt Strike en ciberataques estaba principalmente limitado a grupos de ciberdelincuentes con financiamiento sólido y grupos de amenazas persistentes avanzadas (APT, por sus siglas en inglés). Entre 2016 y 2018, alrededor del 66% de las campañas de Cobalt Strike estaban atribuidas a este tipo de grupos. Sin embargo, entre 2019 y 2021, ese porcentaje se desplomó al 15%, lo cual indica que Cobalt Strike ahora está siendo utilizado por atacantes más comunes.

Según Sherrod DeGrippo, director senior de investigación y detección de amenazas de Proofpoint: "Nuestros datos muestran que Cobalt Strike es actualmente utilizado por más ciberdelincuentes y operadores de malware comunes que por actores de amenazas APT y de espionaje. Esto significa que se ha vuelto completamente común en el mundo del cibercrimen. Los actores de amenazas motivados por razones financieras ahora están armados de manera similar a aquellos financiados y respaldados por diversos gobiernos".

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Grupos de ciberdelincuentes que utilizan Cobalt Strike

Proofpoint menciona a varios grupos que han utilizado Cobalt Strike en sus ataques. Uno de ellos es el grupo A800, que intenta desplegar malware bancario o cargadores de malware. En el pasado, este grupo descargaba una vulnerabilidad de puerta trasera llamada BazaLoader, que luego descargaba Cobalt Strike. Pero en febrero de 2021, A800 comenzó a utilizar Cobalt Strike como una carga inicial a través de URLs maliciosas.

Otro grupo observado utilizando Cobalt Strike es TA547. Desde mediados de 2021, este grupo ha estado utilizando archivos adjuntos maliciosos de Microsoft Office para desplegar malware. En febrero de 2021, TA547 comenzó a explotar Cobalt Strike como una carga de segunda etapa para comunicaciones de comando y control.

Un tercer grupo que utiliza Cobalt Strike es TA415, que según Proofpoint se cree que está asociado con la República Popular China. Este grupo comenzó a utilizar Cobalt Strike como una carga inicial a mediados de 2020. En septiembre pasado, el Departamento de Justicia de Estados Unidos acusó a varios miembros de este grupo, describiendo su uso de Cobalt Strike en el acto de acusación.

La proliferación del uso ilegítimo de herramientas de seguridad ofensivas

Sherrod DeGrippo comenta que "las herramientas de seguridad ofensivas no son inherentemente maliciosas, pero es importante examinar cómo se ha proliferado el uso ilegítimo de estos marcos entre los actores de amenazas APT y los ciberdelincuentes en general". Según Proofpoint, los actores de amenazas están utilizando tantas herramientas legítimas como sea posible, incluyendo la ejecución de procesos de Windows como PowerShell y WMI, la inyección de código malicioso en binarios legítimos y el uso frecuente de servicios permitidos como Dropbox, Google Drive, SendGrid y Constant Contact para alojar y distribuir malware.

El futuro de Cobalt Strike en los ciberataques

Proofpoint anticipa que Cobalt Strike seguirá siendo utilizado en los ciberataques. Ya se han visto afectadas decenas de miles de organizaciones con campañas de Cobalt Strike, y Proofpoint espera que este número aumente este año.

Nota del editor: Este artículo ha sido actualizado.

Cómo proteger tu computadora de los virus: métodos y consejos

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cobalt Strike: El aumento alarmante de su uso malicioso por parte de ciberdelincuentes , tenemos lo ultimo en tecnología 2023.