Karakurt
Το Karakurt είναι μια νεοσύστατη ομάδα εγκλήματος στον κυβερνοχώρο που μέσα σε λίγους μήνες κατάφερε να χτυπήσει πάνω από 40 θύματα. Σε αντίθεση με την πλειονότητα των ομάδων APT με οικονομικά κίνητρα, το Karakurt δεν κρυπτογραφεί τα δεδομένα των θυμάτων του μέσω απειλής ransomware. Αντίθετα, οι δραστηριότητές της επικεντρώνονται στη διείσδυση ευαίσθητων δεδομένων από τα παραβιασμένα συστήματα και στη συνέχεια στην εκβίαση των θυμάτων απειλώντας να δημοσιοποιήσει τις πληροφορίες που αποκτήθηκαν.
Ένα άλλο ξεχωριστό χαρακτηριστικό του Karakurt είναι ότι οι χάκερ έχουν παρεκκλίνει από την τυπική προσέγγιση της στόχευσης μεγάλων εταιρειών ή κρίσιμων υπηρεσιών υποδομής. Αντίθετα, οι χάκερ επιδεικνύουν μια ταχύτερη προσέγγιση όπου θέτουν σε κίνδυνο μικρότερες εταιρείες ή εταιρικές θυγατρικές. Αυτό επιτρέπει στον Karakurt να μεταβεί στο επόμενο θύμα γρήγορα. Μέχρι στιγμής, η πλειονότητα των παραβιασμένων οργανώσεων ήταν από τη Βόρεια Αμερική, με την Ευρώπη να είναι μακρινή δεύτερη.
Προσαρμοστικές Απειλητικές Τακτικές
Οι χάκερ Karakurt έχουν επίσης επιδείξει την ικανότητα να υιοθετούν νέες τεχνικές γρήγορα και αλλάξτε τις χρησιμοποιούμενες απειλές κακόβουλου λογισμικού. Σύμφωνα με τους ερευνητές του infosec στην Accenture Security που παρακολουθούν τις δραστηριότητες της ομάδας, το Karakurt χρησιμοποιεί νόμιμες διαπιστευτήρια VPN ως φορέα αρχικής πρόσβασης. Ωστόσο, μέχρι στιγμής δεν έχει προσδιοριστεί πώς οι χάκερ αποκτούν αυτά τα διαπιστευτήρια.
Μόλις εισέλθουν στο δίκτυο, οι εγκληματίες του κυβερνοχώρου επιτυγχάνουν επιμονή, προσπαθούν να κινηθούν πλευρικά και εκμεταλλεύονται εργαλεία ή χαρακτηριστικά που υπάρχουν ήδη στο στοχευμένο περιβάλλον, μια προσέγγιση γνωστή ως «ζωή από τη γη». Για επιμονή, το Karakurt έχει παρατηρηθεί χρησιμοποιώντας πολλές διαφορετικές μεθόδους. Αρχικά, αυτά περιελάμβαναν τη δημιουργία υπηρεσιών, την ανάπτυξη εργαλείων απομακρυσμένης διαχείρισης και τη διάδοση απειλών από κερκόπορτα στα συστήματα του θύματος, όπως τα Beacons Cobalt Strike. Ωστόσο, Οι πιο πρόσφατες λειτουργίες του Karakurt απέκοψαν το Cobalt Strike και αντ' αυτού καθιέρωσαν την επιμονή μέσω του δικτύου μέσω του VPN IP pool και του AnyDesk, μιας εφαρμογής απομακρυσμένης επιφάνειας εργασίας. Εάν οι χάκερ δεν καταφέρουν να αποκτήσουν αυξημένα προνόμια μέσω των διαπιστευτηρίων που έχουν στην κατοχή τους, θα προσπαθήσουν να το κάνουν αναπτύσσοντας το Mimikatz ή χρησιμοποιώντας το PowerShell.
Κλοπή Δεδομένων
Το τελευταίο βήμα της επίθεσης είναι η διήθηση των δεδομένων του θύματος. Τα επιλεγμένα αρχεία συμπιέζονται πρώτα είτε μέσω 7zip είτε μέσω WinZip. Στη συνέχεια, το Rclone of FileZilla (SFTP) χρησιμοποιείται για τη δήλωση πριν από την τελική εξαγωγή των πληροφοριών στον χώρο αποθήκευσης cloud Mega.io. Σύμφωνα με ερευνητές, δύο κατάλογοι που χρησιμοποιήθηκαν στο στάδιο της εξαγωγής δεδομένων είναι οι C:\Perflogs και C:\Recovery.
Η ομάδα έχει δημιουργήσει δύο τοποθεσίες διαρροής δεδομένων ήδη από τον Ιούνιο του 2021, μήνες πριν από τις πρώτες απειλητικές επιχειρήσεις της. Οι δύο τοποθεσίες που εντόπισαν οι ερευνητές του infosec είναι το karakurt.group και το karakurt.tech. Η ομάδα χάκερ έχει επίσης λογαριασμό στο Twitter που δημιουργήθηκε τον Αύγουστο.
