Karakurt

Karakurt on äsja asutatud küberkuritegude rühmitus, mis on vaid paari kuuga suutnud tabada üle 40 ohvri. Erinevalt enamikust rahaliselt motiveeritud APT gruppidest ei krüpteeri Karakurt oma ohvrite andmeid lunavaraohu kaudu. Selle asemel on tema tegevus keskendunud tundlike andmete väljafiltreerimisele murtud süsteemidest ja seejärel ohvrite väljapressimisele, ähvardades saadud teabe avalikustada.

Teine Karakurti iseloomulik tunnus on see, et häkkerid on kaldunud kõrvale tavapärasest lähenemisviisist, mille eesmärk on sihtida suurettevõtteid või kriitilise infrastruktuuri teenuseid. Selle asemel kasutavad häkkerid väiksemaid ettevõtteid või tütarettevõtteid ohustades kiiremat lähenemist. See võimaldab Karakurtil liikuda järgmise ohvri juurde kiiresti. Seni on suurem osa ohtu sattunud organisatsioonidest pärit Põhja-Ameerikast, kusjuures Euroopa on kaugemal teisel kohal.

Adaptiivne ähvardamistaktika

Karakurti häkkerid on näidanud ka võimet võtta kasutusele uusi tehnikaid kiiresti ja vahetage kasutatud pahavaraohte. Grupi tegevust jälginud Accenture Security infoseci teadlaste sõnul kasutab Karakurt esialgse juurdepääsuvektorina legitiimseid VPN-mandaate. Siiski pole siiani kindlaks tehtud, kuidas häkkerid need mandaadid saavad.

Võrku sisenedes saavutavad küberkurjategijad järjekindluse, püüavad liikuda külgsuunas ja kasutada sihitud keskkonnas juba olemasolevaid tööriistu või funktsioone. Seda lähenemist tuntakse kui "maalt elamist". Püsivuse huvides on Karakurti vaadeldud mitme erineva meetodi abil. Algselt hõlmasid need teenuste loomist, kaughaldustööriistade juurutamist ja tagaukse ohtude levitamist ohvri süsteemides, näiteks Cobalt Strike'i majakad. Kuid, Uuemad Karakurti toimingud on loobunud Cobalt Strike'ist ja loovad selle asemel püsivuse võrgu kaudu VPN-i IP-basseini ja kaugtöölauarakenduse AnyDeski kaudu. Kui häkkeritel ei õnnestu omandatud mandaatide kaudu kõrgemaid õigusi omandada, proovivad nad seda teha Mimikatzi juurutamise või PowerShelli abil.

Andmete vargus

Rünnaku viimane samm on ohvri andmete väljafiltreerimine. Valitud failid tihendatakse esmalt kas 7zipi või WinZipi kaudu. Seejärel kasutatakse FileZilla Rclone'i (SFTP) teatamiseks enne, kui teave lõpuks Mega.io pilvmällu eksfiltreeritakse. Teadlaste sõnul on andmete väljafiltreerimise etapis kasutatud kaks kataloogi C:\Perflogs ja C:\Recovery.

Grupp on loonud kaks andmelekke saiti juba 2021. aasta juunis, kuid enne nende esimesi ähvardavaid operatsioone. Infoseci teadlaste tuvastatud kaks saiti on karakurt.group ja karakurt.tech. Häkkerigrupil on ka Twitteri konto, mis loodi augustis.