Karakurt

Karakurt er en nyetableret cyberkriminalitetsgruppe, der på blot et par måneder har formået at ramme over 40 ofre. I modsætning til flertallet af økonomisk motiverede APT-grupper, krypterer Karakurt ikke sine ofres data via en ransomware-trussel. I stedet er dets operationer fokuseret på at udskille følsomme data fra de brudte systemer og derefter afpresse ofrene ved at true med at frigive de opnåede oplysninger til offentligheden.

Et andet tydeligt kendetegn ved Karakurt er, at hackerne har afveget fra den typiske tilgang med at målrette mod store virksomheder eller kritiske infrastrukturtjenester. I stedet udviser hackerne en hurtigere tilgang, hvor de kompromitterer mindre virksomheder eller virksomheders datterselskaber. Dette giver Karakurt mulighed for at flytte til det næste offerhurtigt. Hidtil har størstedelen af de kompromitterede organisationer været fra Nordamerika, hvor Europa er en fjern andenplads.

Adaptiv truende taktik

Karakurt-hackerne har også vist evnen til at anvende nye teknikkerhurtigt og skift de brugte malware-trusler. Ifølge infosec-forskerne hos Accenture Security, som har overvåget gruppens aktiviteter, bruger Karakurt legitime VPN-legitimationsoplysninger som en indledende adgangsvektor. Det er dog endnu ikke blevet fastslået, hvordan hackerne opnår disse legitimationsoplysninger.

Når de først er inde i netværket, opnår de cyberkriminelle vedholdenhed, forsøger at bevæge sig sideværts og udnytter værktøjer eller funktioner, der allerede eksisterer i det målrettede miljø, en tilgang kendt som 'at leve af jorden'. For vedholdenhed er Karakurt blevet observeret ved hjælp af flere forskellige metoder. I første omgang omfattede disse oprettelse af tjenester, implementering af fjernstyringsværktøjer og spredning af bagdørstrusler på tværs af ofrets systemer, såsom Cobalt Strike-beacons. Imidlertid,nyere Karakurt-operationer har droppet Cobalt Strike og etablerer i stedet persistens gennem netværket via VPN IP-pool og AnyDesk, en fjernskrivebordsapplikation. Hvis hackerne undlader at opnå forhøjede rettigheder gennem de besiddende legitimationsoplysninger, vil de forsøge at gøre det ved at implementere Mimikatz eller bruge PowerShell.

Datatyveri

Det sidste trin i angrebet er eksfiltreringen af ofrets data. De valgte filer komprimeres først gennem enten 7zip eller WinZip. Bagefter bruges Rclone of FileZilla (SFTP) til at angive, før oplysningerne i sidste ende eksfiltreres til Mega.io cloud-lageret. Ifølge forskere er to mapper, der blev brugt i iscenesættelsen af dataeksfiltrationen, C:\Perflogs og C:\Recovery.

Gruppen har oprettet to datalækagesteder allerede i juni 2021, måneder før deres første truende operationer. De to steder identificeret af infosec-forskere er karakurt.group og karakurt.tech. Hackergruppen har også en Twitter-konto, der blev oprettet i august.