Karakurt

El Mezo el Advanced Persistent Threat (APT)

Traduir a:

Karakurt és un grup de ciberdelinqüència de nova creació que en només un parell de mesos ha aconseguit assolir més de 40 víctimes. A diferència de la majoria dels grups APT amb motivació financera, Karakurt no xifra les dades de les seves víctimes mitjançant una amenaça de ransomware. En canvi, les seves operacions se centren a extreure dades sensibles dels sistemes violats i després extorsionar a les víctimes amenaçant amb divulgar la informació obtinguda al públic.

Una altra característica diferent de Karakurt és que els pirates informàtics s'han desviat de l'enfocament típic d'orientar a grans corporacions o serveis d'infraestructura crítica. En canvi, els pirates informàtics mostren un enfocament més ràpid on comprometen empreses més petites o filials corporatives. Això permet a Karakurt passar a la següent víctima ràpidament. Fins ara, la majoria de les organitzacions compromeses han estat d'Amèrica del Nord, amb Europa en segon lloc.

Tàctiques adaptatives d'amenaça

Els hackers de Karakurt també han demostrat la capacitat d'adoptar noves tècniques ràpidament i canviar les amenaces de programari maliciós utilitzat. Segons els investigadors de l'infosec d'Accenture Security que han estat supervisant les activitats del grup, Karakurt utilitza credencials VPN legítimes com a vector d'accés inicial. No obstant això, fins ara no s'ha determinat com els pirates informàtics obtenen aquestes credencials.

Un cop dins de la xarxa, els ciberdelinqüents aconsegueixen la persistència, intenten moure's lateralment i exploten eines o característiques ja existents a l'entorn objectiu, un enfocament conegut com "viure de la terra". Per a la persistència, Karakurt s'ha observat utilitzant diversos mètodes diferents. Inicialment, incloïen la creació de serveis, el desplegament d'eines de gestió remota i la difusió d'amenaces de porta posterior als sistemes de la víctima, com ara balises Cobalt Strike. Malgrat això, Les operacions més recents de Karakurt han deixat caure Cobalt Strike i, en canvi, estableixen la persistència a través de la xarxa mitjançant un grup d'IP VPN i AnyDesk, una aplicació d'escriptori remota. Si els pirates informàtics no aconsegueixen privilegis elevats a través de les credencials en possessió, intentaran fer-ho desplegant Mimikatz o utilitzant PowerShell.

Robatori de dades

El pas final de l'atac és l'exfiltració de les dades de la víctima. Els fitxers escollits es comprimeixen primer mitjançant 7zip o WinZip. Després, s'utilitza Rclone of FileZilla (SFTP) per indicar abans que la informació s'exfilti finalment a l'emmagatzematge en núvol de Mega.io. Segons els investigadors, dos directoris que es van utilitzar en l'etapa de preparació de l'exfiltració de dades són C:\Perflogs i C:\Recovery.

El grup ha establert dos llocs de filtració de dades ja el juny de 2021, mesos abans de les seves primeres operacions amenaçadores. Els dos llocs identificats pels investigadors d'infosec són karakurt.group i karakurt.tech. El grup de pirates informàtics també té un compte de Twitter que es va crear a l'agost.

Cerca

Canvia de regió

Karakurt

Tàctiques adaptatives d'amenaça

Robatori de dades

Enviar Comentari

Tendència

Safe Search Eng

MyWallPaper

Grounding Conductor Ransomware

Més vist

Lookmovie.io és segur?

DNS Unlocker

Estafa de correu electrònic "Geek Squad".