Cobalt Strike es una herramienta de seguridad legítima y bastante eficaz para los equipos de seguridad con la que se puede emular la actividad de los ciberdelincuentes dentro de una red, pero también es un recurso de hacking cada vez más empleado con fines maliciosos. Así consta en los datos sobre amenazas en 2021 que tiene Proofpoint. Entre 2019 y 2020, la empresa de ciberseguridad y cumplimiento normativo registró ya un aumento ni más ni menos que del 161% en el uso de esta misma herramienta por parte de los atacantes.
Su maleabilidad y facilidad de uso la convierten en una solución robusta y eficaz para desviar datos, hacer movimientos laterales y ejecutar cargas útiles de malware adicionales. Según Proofpoint, Cobalt Strike se ha vuelto muy popular entre grupos de ciberdelincuentes vinculados a Estados que la utilizan como carga útil de acceso inicial y no solo en una segunda fase después de haber conseguido acceso a su objetivo. En el sonado ciberataque a SolarWinds, en diciembre de 2020, que consiguió bloquear su sistema de monitorización de redes, los ciberdelincuentes emplearon Cobalt Strike Beacon, entre otras herramientas, como parte de su inteligente cadena de ataque.
Cobalt Strike hizo su debut en el panorama de amenazas en 2012 asociándose en gran medida a ciberdelincuentes con importantes recursos tales como grandes operadores del cibercrimen del estilo de TA3546 o grupos de APT como TA423. Desde 2019, no obstante, solo el 15% de las campañas de Cobalt Strike se ha atribuido a actores de amenazas conocidos.
“Las herramientas de seguridad ofensiva no son en sí maliciosas, pero su uso ilegítimo ha proliferado entre los actores de APT y los ciberdelincuentes por igual”, apunta Sherrod DeGrippo, directora sénior del equipo de Investigación y Detección de Proofpoint. “Aunque Cobalt Strike sea más usado actualmente por atacantes y distribuidores de malware en general que por grupos de APT y de ciberespionaje, lo cierto es que los equipos de seguridad están enfrentándose a actores de amenazas muy preparados. Ahora los ciberdelincuentes con una motivación financiera están armados de una forma muy similar a aquellos que cuentan con respaldo y financiación por parte de los gobiernos”.
Desde Proofpoint se ha observado una amplia tendencia en la que los actores de amenazas recurren a tantas herramientas legítimas y disponibles públicamente como sea posible, incluyendo la ejecución de procesos de Windows como PowerShell y WMI, la inyección de código malicioso en binarios legítimos, o el uso frecuente de servicios como Dropbox, Google Drive, SendGrid y Constant Contact para alojar y distribuir el malware. Cobalt Strike no es la única herramienta de este tipo que aparece en los datos sobre amenazas de Proofpoint, sino que también hay otras como Mythic, Meterpreter y Veil Framework.
Para hacer uso de Cobalt Strike, los ciberdelincuentes compran directamente la herramienta en el sitio web del proveedor, en la dark web o bien cualquier otra versión crackeada del software. Al igual que sus homólogos legítimos, los atacantes emplean distintos señuelos, amenazas, droppers o cargas útiles con Cobalt Strike. Las primeras campañas de amenazas eran por email con documentos maliciosos adjuntos para distribuir el malware, aunque ahora se incluyen sobre todo URL maliciosas directamente en el cuerpo del correo electrónico. Decenas de miles de organizaciones ya han sido atacadas con Cobalt Strike, y el equipo de investigación de Proofpoint prevé que siga siendo una herramienta de uso común entre los atacantes en los próximos meses.
Ilustración: Canva
