Nový aktér hrozeb Karakurt se zaměřuje na vydírání, nikoli na ransomware

Výzkumníci z bezpečnostní firmy Accenture zveřejnili zprávu o novém velkém jménu na poli hrozeb. Nová entita se nazývá Karakurt a podle výzkumníků se jí během několika měsíců v roce 2021 podařilo získat více než 40 obětí.

Karakurt je portmanteau tureckých slov pro „černý" a „vlk" a vyskytuje se také jako turecké příjmení. Je to také jiné jméno pro pavouka černé vdovy. Je třeba poznamenat, že toto není jméno dané výstroji bezpečnostními výzkumníky, ale jméno, které si skupina vybrala pro sebe.

Hrozivý aktér chystající se vydírání kvůli ransomwaru

Karakurt se objevil jako červená skvrna na radarech výzkumníků v polovině roku 2021, ale v posledních několika měsících výrazně vzrostl. Accenture popisuje aktéra ohrožení jako „finančně motivovaného, oportunistického" a zdánlivě zaměřeného na menší subjekty, vyhýbající se „velké hře". Není příliš těžké si představit, proč tomu tak je, po tom, co se stalo se skupinou Darkside poté, co jedna z jejich poboček zahájila ochromující útok proti Colonial Pipeline v USA a vyvolala neuvěřitelnou reakci na Darkside, což vedlo ke zjevnému vypnutí aktéra hrozby.

Podobně jako většina aktérů ransomwaru se Karakurt primárně zaměřoval na společnosti a subjekty nacházející se na území USA, přičemž pouze 5 % z celkového počtu útoků mířilo na cíle v Evropě. Zde však podobnosti s většinou ransomwaru v provozním režimu končí. Karakurt není ransomwarový gang .

Místo toho se nový aktér hrozeb zaměřil na rychlejší přístup – rychle dovnitř a ven, exfiltrovat co nejvíce citlivých dat a pak vymáhat peníze za ukradené informace.

Accenture také věří, že tento přístup bude v budoucnu stále populárnější mezi aktéry hrozeb, a očekává mírný posun od ransomwaru k čistému přístupu „exfiltrace a vydírání" v kombinaci s posunem k cílům, které nezpůsobí narušení společnosti nebo infrastruktury, když udeřil.

Karakurtovy metody a nástroje

Karakurt využívá k infiltraci nástroje a aplikace již nainstalované v sítích obětí. Běžnou metodou infiltrace v útocích skupiny bylo dosud používání legitimních přihlašovacích údajů VPN. Jak je ale získali, není jasné.

Od této chvíle Accenture vykresluje obraz Karakurtových akcí, který je až příliš známý – majáky Cobalt Strike pro komunikaci velení a řízení. Laterálního pohybu napříč sítěmi je dosaženo pomocí jakýchkoli dostupných nástrojů, od PowerShellu po škodlivé aplikace třetích stran. Hackerská skupina používá oblíbené komprimační nástroje k zabalení ukradených dat před jejich odesláním do mega dot io k uložení.