欧州連合の法執行機関Europol(欧州刑事警察機構、以下「ユーロポール」)と英国の国家犯罪対策庁(NCA)は7月3日(現地時間)、サイバー犯罪者がランサムウェア攻撃などに悪用していた商用ツール「Cobalt Strike」の593件のIPアドレスを削除したと発表した。
Cobalt Strikeは、米サイバーセキュリティ企業Fortraがリリースした正規の商用侵入テストツールだが、サイバー犯罪者がこのツールのクラックされたコピーをデータ窃盗やランサムウェア攻撃で悪用するようになっている。
米Microsoftによると、クラックされたこのツールはロシアや中国などの国家支援のサイバー犯罪者が活用しているという。
サイバー犯罪者は、スピアフィッシングやスパムメールを介してCobalt Strikeのクラック版を展開する。標的がリンクをクリックしたり添付ファイルを開くと、Cobalt Strikeのビーコンがインストールされ、サイバー犯罪者にリモートアクセスが提供され、感染したホストのプロファイルを作成し、マルウェアやランサムウェアをダウンロードしてデータを盗み、標的から金銭を巻き上げようとする。
NCA主導の「Operation MORPHEUS」(モーフィアス作戦)には欧州の一部の国や米国、カナダの法執行機関が関与し、ユーロポールはBAE Systems Digital Intelligence、Trellix、Spamhausなどの民間企業との調整にあたった。Fortraもツールの古いバージョンやクラックされたバージョンを特定し、削除している。日本の当局もこの作戦に協力したという。
ユーロポールは、2021年9月からすべての協力者と情報交換し、作戦を推進してきた。作戦を通じて、約120万件の侵害の兆候を含む730件以上の脅威情報が共有された。
ユーロポールは「阻止活動はこれで終わりではない。犯罪者がこのツールの古いバージョンを悪用し続ける限り、法執行機関は監視を続け、同様の措置を講じるだろう」としている。