Desde 2012, Cobalt Strike se ha utilizado como una forma proactiva de probar las defensas de la red contra herramientas, tácticas y procedimientos (TTP) avanzados de los actores de amenazas. El objetivo, por supuesto, es imitar a los actores de amenazas más maliciosos y sus técnicas para probar su postura de seguridad y practicar los procedimientos de respuesta. Desafortunadamente, como la mayoría de las cosas en seguridad, las herramientas y el conocimiento destinados a ayudar a los equipos de seguridad también pueden ser utilizados de forma maliciosa por los delincuentes.
Durante los últimos tres años, los actores de amenazas maliciosas han logrado descifrar versiones completas de Cobalt Strike y las han puesto a disposición en foros y mercados de la web oscura. Por ejemplo, el 22 de marzo de 2020, la última versión de la herramienta se descifró y se proporcionó a los piratas informáticos. Infocyte lo ha visto ampliamente utilizado para infiltrarse y moverse lateralmente a través de las redes y, según el valor que se le dé a los datos de una empresa determinada, el ransomware se elimina. Infocyte ha notado una tendencia ascendente constante de esta versión agrietada como metodología principal por parte de los actores de amenazas desde principios de 2019 hasta el presente.
Cobalt Strike es uno de los favoritos porque es estable y muy flexible. Se puede reutilizar para implementar todo tipo de cargas útiles, como ransomware o keylogger, en la red comprometida. Está bien organizado y proporciona un marco para la gestión de activos comprometidos. Básicamente, esta herramienta ayuda a la "lista B" a actuar como hackers de la "lista A". Si bien el autor de Cobalt Strike ha implementado muchas protecciones y esquemas de licencia para mantener el código fuera de las manos equivocadas, las versiones descifradas parecen utilizar todo el marco de la solución. Esto significa que los actores de amenazas tienen acceso a las redes, pueden rotar y luego moverse lateralmente dentro de la red.
Una licencia de un año de Cobalt Strike cuesta alrededor de US $ 3500 por usuario. El costo de renovación de la licencia es de aproximadamente 2.500 dólares estadounidenses. Sin embargo, los ciberdelincuentes a menudo utilizan versiones de prueba o descifradas de esta herramienta o incluso encuentran formas de acceder a una copia comercial del software. Al observar la amplia gama de capacidades, no hay duda de por qué los piratas informáticos prefieren Cobalt Strike a trabajar en un conjunto de herramientas personalizado. Para identificar una implementación de Cobalt Strike y mantenerse protegido, los expertos recomiendan varias técnicas que implican encontrar el puerto abierto en 50050 / TCP o verificar el certificado TLS predeterminado del proveedor.
