Computer Security ممثل التهديد الجديد في كاراكورت يركز على الابتزاز وليس...

ممثل التهديد الجديد في كاراكورت يركز على الابتزاز وليس فيروسات الفدية

نشر باحثون في شركة الأمان Accenture تقريرًا عن اسم كبير جديد في مشهد ممثل التهديد. يُطلق على الكيان الجديد اسم كاراكورت ، وقد نجح وفقًا للباحثين في تسجيل أكثر من 40 ضحية في غضون بضعة أشهر فقط في عام 2021.

Karakurt هو حامل للكلمات التركية لـ "أسود" و "ذئب" ويصادف أيضًا كاسم عائلة تركية. وهو أيضًا اسم آخر لعنكبوت الأرملة السوداء الأوروبية. وتجدر الإشارة إلى أن هذا الاسم لم يطلق على الزي من قبل الباحثين الأمنيين ولكنه اسم اختارته المجموعة لنفسها.

ممثل التهديد يسعى للابتزاز بسبب برامج الفدية

ظهرت كاراكورت على شكل إشارة ضوئية حمراء على رادارات الباحثين في منتصف عام 2021 ، لكنها شهدت نشاطًا ملحوظًا خلال الأشهر العديدة الماضية. تصف أكسنتشر الجهة الفاعلة في التهديد بأنها "ذات دوافع مالية وانتهازية" وتستهدف على ما يبدو كيانات أصغر ، وتبتعد عن "اللعبة الكبيرة". ليس من الصعب جدًا تخيل سبب ذلك ، بعد ما حدث مع مجموعة Darkside بعد أن شنت إحدى الشركات التابعة لها هجومًا معوقًا ضد خط أنابيب كولونيال في الولايات المتحدة وجلب رد فعل عنيفًا لا يُصدق على Darkside ، مما أدى إلى الإغلاق الواضح لممثل التهديد.

على غرار معظم الجهات الفاعلة في برامج الفدية ، كان كاراكورت يستهدف بشكل أساسي الشركات والكيانات الموجودة على الأراضي الأمريكية ، مع 5 ٪ فقط من إجمالي الهجمات التي تستهدف أهدافًا في أوروبا. ومع ذلك ، فإن أوجه التشابه مع معظم برامج الفدية في وضع التشغيل تنتهي هنا. كاراكورت ليس عصابة برمجيات الفدية.

بدلاً من ذلك ، ركز ممثل التهديد الجديد على نهج أسرع - الدخول والخروج بسرعة ، واستخراج أكبر قدر ممكن من البيانات الحساسة ، ثم ابتزاز الأموال مقابل المعلومات المسروقة.

تعتقد Accenture أيضًا أن هذا النهج سيصبح شائعًا بشكل متزايد بين الجهات الفاعلة في التهديد في المستقبل وتتوقع تحولًا طفيفًا بعيدًا عن برامج الفدية إلى نهج "التسلل والابتزاز" الخالص ، جنبًا إلى جنب مع التحول نحو الأهداف التي لن تسبب اضطرابًا في المجتمع أو البنية التحتية عندما نجاح.

طرق وأدوات Karakurt

يستخدم Karakurt الأدوات والتطبيقات المثبتة بالفعل على شبكات الضحايا للتسلل. كانت الطريقة الشائعة للتسلل في هجمات المجموعة حتى الآن هي استخدام بيانات اعتماد تسجيل دخول VPN المشروعة. كيف تم الحصول عليها ، ومع ذلك ، ليس واضحا.

من هذه النقطة فصاعدًا ، ترسم أكسنتشر صورة لأفعال كاراكورت مألوفة جدًا حتى الآن - منارات Cobalt Strike لاتصالات القيادة والتحكم. يتم تحقيق الحركة الجانبية عبر الشبكات باستخدام أي أدوات متاحة ، من PowerShell إلى التطبيقات الضارة التابعة لجهات خارجية. تستخدم جماعة المتسللين أدوات ضغط شائعة لتعبئة البيانات المسروقة قبل إرسالها إلى Mega dot io للتخزين.

جار التحميل...