Новият актьор за каракуртска заплаха се фокусира върху изнудването, а не върху Ransomware

Изследователи от охранителната фирма Accenture публикуваха доклад за ново голямо име в пейзажа на заплахите. Новото образувание се нарича Каракурт и според изследователите е успяло да отбележи повече от 40 жертви само за няколко месеца през 2021 г.

Каракурт е съвкупност от турските думи за „черен" и „вълк" и също се среща като турско фамилно име. Това е и друго име за европейския паяк черна вдовица. Трябва да се отбележи, че това не е име, дадено на екипажа от изследователи по сигурността, а такова, което групата е избрала за себе си.

Заплашващ актьор, който ще изнудва заради софтуер за откуп

Каракурт се появи като червена бележка на радарите на изследователите в средата на 2021 г., но значително се увеличи активността си през последните няколко месеца. Accenture описва заплахата като „финансово мотивиран, опортюнистичен" и привидно насочен към по-малки субекти, като стои далеч от „голямата игра". Не е твърде трудно да си представим защо е така, след случилото се с групата Darkside, след като един от техните филиали започна осакатяваща атака срещу Colonial Pipeline в САЩ и предизвика невероятна реакция на Darkside, което доведе до очевидното изключване на заплахата.

Подобно на повечето участници в рансъмуер, Karakurt е насочен предимно към компании и юридически лица, разположени на американска земя, като само 5% от общите атаки са насочени срещу цели в Европа. Въпреки това, приликите с повечето ransomware в режима на работа свършват до тук. Karakurt не е банда за откуп.

Вместо това, новият участник в заплахата се фокусира върху по-бърз подход – влизане и излизане бързо, ексфилтриране на възможно най-много чувствителни данни и след това изнудване на пари за откраднатата информация.

Accenture също така вярва, че този подход ще стане все по-популярен сред участниците в заплахите в бъдеще и очаква леко преминаване от ransomware към чист подход на „ексфилтрация и изнудване", съчетан с преминаване към цели, които няма да причинят обществени или инфраструктурни смущения, когато удари.

Методи и инструменти на Каракурт

Karakurt използва инструменти и приложения, които вече са инсталирани в мрежите на жертвите за проникване. Често срещаният метод за проникване в атаките на групата досега е използването на легитимни идентификационни данни за влизане в VPN. Как са получени обаче, не е ясно.

От този момент нататък Accenture рисува картина на действията на Каракурт, която вече е твърде позната - маяци Cobalt Strike за комуникация за командване и контрол. Страничното движение през мрежите се постига с помощта на всички налични инструменти, от PowerShell до злонамерени приложения на трети страни. Хакерският екип използва популярни инструменти за компресиране, за да опакова откраднатите данни, преди да ги изпрати до mega dot io за съхранение.