Microsoft se tourne vers une ordonnance du tribunal pour supprimer l'outil de piratage de ransomware qui ciblait les hôpitaux

Microsoft et un groupe d'entreprises de cybersécurité ont reçu l'aide des tribunaux avec le démantèlement massif jeudi d'un outil de piratage notoire qui avait été coopté par des cybercriminels pour cibler les hôpitaux et les systèmes de santé. En joignant leurs forces à la société de cybersécurité Fortra et au Health Information Sharing and Analysis Center (H-ISAC), les entreprises ont demandé et reçu une ordonnance du tribunal visant à supprimer les versions pirates du logiciel Cobalt Strike de Fortra. Vendredi dernier, le tribunal de district américain du district oriental de New York a accordé l'ordonnance du tribunal aux organisations, leur permettant de saisir les noms de domaine où des acteurs malveillants stockaient les versions "crackées" du logiciel. Pendant des années, une version malveillante de l'outil - initialement conçue pour permettre aux entreprises de vérifier leurs cyberdéfense - a été manipulée par de mauvais acteurs lançant des attaques de ransomware sur des victimes involontaires. Les familles de ransomwares associées aux copies craquées de Cobalt Strike "ont été liées à plus de 68 attaques de ransomwares affectant les organisations de santé dans plus de 19 pays à travers le monde", selon Microsoft, coûtant aux systèmes hospitaliers "des millions de dollars en coûts de récupération et de réparation, ainsi que des interruptions des services de soins critiques aux patients, notamment des retards de diagnostic, d'imagerie et de résultats de laboratoire, des procédures médicales annulées et des retards dans la livraison des traitements de chimiothérapie. » Alors que les hôpitaux étaient aux prises avec la pandémie de coronavirus à travers les États-Unis, les cybercriminels ont multiplié les cyberattaques paralysantes conçues pour verrouiller les réseaux informatiques contenant des données de patients en échange de lourdes rançons. Une analyse menée par la Cybersecurity and Infrastructure Security Agency (CISA) a révélé que de telles attaques avaient des effets négatifs à long terme sur les hôpitaux, créant davantage de détournements d'ambulances et une mortalité accrue. D'anciennes copies illégales du logiciel Cobalt Strike - souvent appelées versions "craquées" - ont été abusées par des criminels dans une série d'attaques très médiatisées, y compris celles menées contre le gouvernement du Costa Rica et l'Irish Health Service Executive, selon Microsoft. Au moins deux gangs de rançongiciels russophones infâmes – Conti et LockBit – sont répertoriés parmi les 16 accusés, selon une ordonnance du tribunal obtenue par CBS News. "Alors que l'identité exacte de ceux qui mènent les opérations criminelles sont actuellement inconnues, nous avons détecté des infrastructures malveillantes à travers le monde, y compris en Chine, aux États-Unis et en Russie", a déclaré Microsoft dans son annonce. "En plus des cybercriminels à motivation financière, nous avons observé des acteurs de la menace agissant dans l'intérêt de gouvernements étrangers, notamment de Russie, de Chine, du Vietnam et d'Iran, en utilisant des copies piratées." "Nous allons également faire ce que nous appelons le 'sinkholing', ce qui signifie rediriger ces domaines vers Microsoft afin que nous puissions identifier les victimes. Nous travaillerons avec d'autres dans le monde pour aider à remédier à ces victimes", a déclaré Amy Hogan-Burney. , directeur général et avocat général associé pour la politique et la protection de la cybersécurité chez Microsoft. La décision juridique de vendredi marque une action rare d'un leader technologique pour cibler les outils et les tactiques des pirates malveillants avec une ordonnance autorisée par le tribunal. Dirigés par l'unité de lutte contre la criminalité numérique de Microsoft, composée de 35 personnes, les chercheurs ont commencé à concevoir la stratégie juridique il y a plus d'un an en collaboration avec Fortra et H-ISAC. Microsoft a déjà fait appel à des ordonnances civiles pour saisir des domaines et des adresses IP associés à des logiciels malveillants spécifiques, mais l'ordonnance du tribunal de vendredi marque la première fois que le leader technologique cherche à supprimer un outil de piratage malveillant à cette échelle. "Certaines des réclamations légales sont similaires à des actions que nous avons faites dans le passé, mais la portée est beaucoup plus grande que ce que nous avons fait", a déclaré Hogan-Burey. Selon Hogan-Burney, Microsoft a déjà commencé à creuser des outils de piratage vers lesquels il pense que les cybercriminels passeront après la répression de Cobalt Strike. Et bien que l'action en justice de vendredi n'empêchera pas les cybercriminels d'exploiter purement et simplement le logiciel piraté, Hogan-Burney l'appelle une première étape importante. Microsoft et Fortra ont obtenu une ordonnance d'interdiction temporaire contre ceux qui violent le droit d'auteur de leurs programmes afin de permettre un arrêt plus rapide des versions malveillantes du logiciel. Mais l'ordonnance du tribunal de vendredi permet également à Microsoft, Fortra et au H-ISAC de procéder à de futurs démontages alors que les criminels développent de nouvelles infrastructures. "[Cette ordonnance du tribunal] nous permet de continuer à le faire", a ajouté Hogan-Burney. "Après avoir exécuté l'ordonnance d'interdiction temporaire aujourd'hui, nous allons demander une injonction permanente parce que nous pensons que cette activité se poursuivra par les cybercriminels. Ils chercheront à déplacer l'hébergement [sites] pour les versions crackées de Cobalt Strike parce que c'est un moyen efficace un outil pour eux. Et nous continuerons à les pourchasser.