Ny Karakurt-trusselsskuespiller fokuserer på afpresning, ikke ransomware

Forskere med sikkerhedsfirmaet Accenture offentliggjorde en rapport om et nyt stort navn i trusselsaktør-landskabet. Den nye enhed hedder Karakurt og har ifølge forskere formået at score mere end 40 ofre på få måneder i 2021.

Karakurt er et sammendrag af de tyrkiske ord for "sort" og "ulv" og er også stødt på som et tyrkisk familienavn. Det er også et andet navn for den europæiske sorte enkeedderkop. Det skal bemærkes, at dette ikke er et navn givet til tøjet af sikkerhedsforskere, men et navn, som gruppen selv valgte.

Trussel skuespiller, der går til afpresning på grund af ransomware

Karakurt kom op som et rødt blik på forskerradarerne i midten af 2021, men er steget markant i aktivitet i løbet af de sidste mange måneder. Accenture beskriver trusselsaktøren som "økonomisk motiveret, opportunistisk" og tilsyneladende rettet mod mindre enheder og holder sig væk fra "big game". Ikke så svært at forestille sig hvorfor det er, efter hvad der skete med Darkside-gruppen, efter at en af deres tilknyttede selskaber lancerede et lammende angreb mod Colonial Pipeline i USA og bragte utrolige tilbageslag på Darkside, hvilket førte til den tilsyneladende lukning af trusselsaktøren.

I lighed med de fleste ransomware-aktører har Karakurt primært været rettet mod virksomheder og enheder placeret på amerikansk jord, hvor kun 5 % af de samlede angreb går efter mål i Europa. Men lighederne med de fleste ransomware i driftstilstanden slutter her. Karakurt er ikke en ransomware-bande.

I stedet fokuserede den nye trusselsaktør på en hurtigere tilgang – at gå hurtigt ind og ud, eksfiltrere så meget følsomme data som muligt og derefter afpresse penge for de stjålne oplysninger.

Accenture mener også, at denne tilgang vil blive stadig mere populær blandt trusselsaktører i fremtiden og forventer et lille skift væk fra ransomware til en ren "eksfiltrere og afpresse" tilgang kombineret med et skift mod mål, der ikke vil forårsage samfundsmæssige eller infrastrukturelle forstyrrelser, når hit.

Karakurts metoder og værktøjer

Karakurt bruger værktøjer og applikationer, der allerede er installeret på offernetværk til infiltration. Den almindelige metode til infiltration i gruppens angreb har hidtil været at bruge legitime VPN-loginoplysninger. Hvordan de blev opnået, er dog ikke klart.

Fra dette tidspunkt tegner Accenture et billede af Karakurts handlinger, som er alt for velkendt efterhånden - Cobalt Strike-fyrtårne til kommando- og kontrolkommunikation. Sidebevægelse på tværs af netværk opnås ved hjælp af alle tilgængelige værktøjer, fra PowerShell til ondsindede tredjepartsapplikationer. Hacker-outfittet bruger populære komprimeringsværktøjer til at pakke de stjålne data, før de sendes til mega dot io til opbevaring.