A plataforma Cobalt Strike, desenvolvida originalmente por Raphael Mudge e hoje comercializada pela Fortra, é utilizada por equipes de red team para simular ataques sofisticados, mas versões crackeadas da ferramenta circulam entre grupos criminosos responsáveis por invasões a empresas e governos em todo o mundo. O software, lançado em 2012 como alternativa comercial ao Metasploit, tornou-se peça central em campanhas de ransomware como LockBit e BlackCat ao longo de 2023 e 2024.

Pontos-chave

  • Plataforma comercial de simulação de adversários e comando e controle (C2)
  • Versões piratas (crackeadas) são usadas por grupos de ransomware como LockBit e ALPHV
  • O componente Beacon é o módulo mais explorado por atacantes
  • Preço de licença original parte de US$ 5.950 por usuário ao ano
  • Presente em mais de 70% dos ataques de ransomware analisados pela Microsoft em 2023

O que é o Cobalt Strike

O Cobalt Strike é uma plataforma de teste de intrusão criada em 2012 pelo pesquisador Raphael Mudge, então sob a empresa Strategic Network Services. A ferramenta foi adquirida pela HelpSystems em 2020 — posteriormente renomeada para Fortra — e permanece no mercado como produto comercial voltado a equipes vermelhas (red teams) que precisam replicar táticas, técnicas e procedimentos (TTPs) de adversários reais.

A diferença central entre o Cobalt Strike e frameworks como o Metasploit está na camada de comando e controle. Enquanto o Metasploit concentra-se em exploração inicial, o Cobalt Strike oferece infraestrutura robusta para manter acesso, movimentar-se lateralmente e exfiltrar dados em ambientes corporativos complexos, com suporte a comunicação HTTP, HTTPS, DNS e SMB.

Em março de 2020, um binário conhecido como Cobalt Strike cracked começou a circular em fóruns criminosos, liberando funcionalidades pagas sem licenciamento. A versão 4.9, lançada em 2023, introduziu mecanismos anti-tampering para dificultar a pirataria, mas o problema persiste. Pesquisadores da Talos e da Mandiant estimam que mais de 60% dos Beacons identificados em incidentes reais não correspondem a licenças legítimas.

Funcionalidades principais

A arquitetura do Cobalt Strike organiza-se em torno de componentes que cobrem todo o ciclo de um ataque simulado, da invasão inicial à exfiltração de dados:

  • Beacon: payload principal que opera como agente dormente em máquinas comprometidas, executando comandos em segundo plano e comunicando-se com o servidor C2 de forma assíncrona
  • Malleable C2: permite personalizar o tráfego de rede do Beacon para imitar aplicações legítimas como Chrome, iTunes ou Facebook, dificultando a detecção por firewalls e EDRs
  • Beacon Object File (BOF): arquivos compilados em C que executam código diretamente na memória do processo Beacon, evitando escrita em disco e reduzindo artefatos forenses
  • Aggressor Script: linguagem de scripting baseada em Sleep para automatizar operações, criar módulos personalizados e estender a plataforma
  • Lateral movement: suporte nativo a pass-the-hash, WMI, PsExec e Kerberos tickets para movimentação entre máquinas Windows

Casos de uso documentados

Equipes de red team corporativo usam o Cobalt Strike para testar a capacidade de detecção de equipes azuis (blue teams) e a resiliência de defesas como EDR e SIEM. Bancos brasileiros, instituições financeiras europeias e órgãos governamentais dos Estados Unidos contratam simulações anuais que envolvem a ferramenta.

No lado criminoso, pesquisadores da CrowdStrike e da Mandiant documentaram o uso intensivo de Cobalt Strike cracked em campanhas de ransomware desde 2020. A operação Colonial Pipeline, em maio de 2021, utilizou um Beacon do Cobalt Strike como vetor de persistência após a invasão inicial pelo grupo DarkSide. Em 2023, o FBI publicou alerta detalhando como versões modificadas do Beacon foram usadas em mais de 60% dos ataques de ransomware reportados à agência.

A Microsoft, em relatório divulgado em outubro de 2023, identificou que 73% das organizações atacadas por ransomware no trimestre anterior apresentaram sinais de Beacon do Cobalt Strike em seus ambientes. No Brasil, o Centro de Tratamento de Incidentes de Segurança da Rede de Administração Pública Federal (CTIR Gov) incluiu a ferramenta em sua lista de ameaças prioritárias em 2023.

Relevância no mercado

O Cobalt Strike mantém posição de destaque no mercado de ferramentas ofensivas. A Fortra reporta mais de 3.500 clientes ativos em 2024, distribuídos entre consultorias de segurança, equipes internas de red team e órgãos governamentais. O preço comercial varia conforme o número de usuários, com licenças individuais partindo de US$ 5.950 anuais.

Apesar da concorrência crescente de alternativas como Sliver, Mythic e Havoc, o Cobalt Strike permanece como referência técnica. Tanto é assim que a maioria dos produtos EDR — incluindo Microsoft Defender for Endpoint, CrowdStrike Falcon e SentinelOne — inclui assinaturas específicas para detectar Beacon, e frameworks como YARA mantêm regras dedicadas ao produto.

A evolução das técnicas de detecção impulsionou uma corrida armamentista: desenvolvedores criminosos criaram modificadores como Artifact Kit e Sleep Mask Kit para driblar defesas, enquanto fabricantes de EDR investem em análise comportamental e monitoramento de memória para identificar variações. A Microsoft estimou que o tempo médio entre infecção e detecção de Beacons modificados subiu de 12 horas em 2022 para 36 horas em 2024.

Considerações finais sobre Cobalt Strike

O Cobalt Strike ilustra o dilema central da indústria de segurança ofensiva: ferramentas projetadas para defender tornam-se, na prática dupla, instrumentos de ataque quando caem em mãos erradas. Para entender como a ferramenta se posiciona no ecossistema de red teaming, consulte a categoria de ferramentas de cibersegurança deste portal e a análise detalhada sobre plataformas de teste de intrusão. Informações oficiais sobre licenciamento e funcionalidades estão no site da Fortra.