Karakurt

Karakurt on hiljattain perustettu kyberrikollisryhmä, joka on parissa kuukaudessa onnistunut lyömään yli 40 uhria. Toisin kuin suurin osa taloudellisesti motivoituneista APT-ryhmistä, Karakurt ei salaa uhriensa tietoja kiristysohjelmauhan kautta. Sen sijaan sen toiminta keskittyy arkaluontoisten tietojen suodattamiseen murretuista järjestelmistä ja sen jälkeen uhrien kiristämiseen uhkaamalla luovuttaa hankitut tiedot yleisölle.

Toinen Karakurtin erottuva ominaisuus on, että hakkerit ovat poikenneet tyypillisestä lähestymistavasta, jonka kohteena ovat suuryritykset tai kriittisen infrastruktuurin palvelut. Sen sijaan hakkerit osoittavat nopeampaa lähestymistapaa, kun he vaarantavat pienempiä yrityksiä tai yritysten tytäryhtiöitä. Tämä antaa Karakurtin siirtyä seuraavan uhrin luonopeasti. Toistaiseksi suurin osa vaarantuneista organisaatioista on ollut Pohjois-Amerikasta, ja Eurooppa on kaukainen kakkossija.

Mukautuva uhkaustaktiikka

Karakurt-hakkerit ovat myös osoittaneet kykyä omaksua uusia tekniikoitanopeasti ja vaihda käytetyt haittaohjelmauhat. Accenture Securityn infosec-tutkijoiden mukaan, jotka ovat seuranneet ryhmän toimintaa, Karakurt käyttää laillisia VPN-tunnuksia alkuperäisenä pääsyvektorina. Toistaiseksi ei kuitenkaan ole määritetty, kuinka hakkerit saavat nämä valtuustiedot.

Verkon sisällä kyberrikolliset saavuttavat pysyvyyden, yrittävät liikkua sivusuunnassa ja hyödyntävät kohdeympäristössä jo olemassa olevia työkaluja tai ominaisuuksia. Tämä lähestymistapa tunnetaan nimellä "eläminen maasta". Pysymisen vuoksi Karakurtia on havaittu useilla eri menetelmillä. Aluksi niihin sisältyi palvelujen luominen, etähallintatyökalujen käyttöönotto ja takaoven uhkien levittäminen uhrin järjestelmiin, kuten Cobalt Strike -majakat. Kuitenkin,uudemmat Karakurt-toiminnot ovat luopuneet Cobalt Strikesta ja sen sijaan luoneet pysyvyyden verkon kautta VPN-IP-poolin ja AnyDeskin, etätyöpöytäsovelluksen, kautta. Jos hakkerit eivät pysty hankkimaan korotettuja oikeuksia hallussaan olevien valtuustietojen kautta, he yrittävät tehdä sen ottamalla käyttöön Mimikatz tai käyttämällä PowerShellia.

Datavarkaus

Hyökkäyksen viimeinen vaihe on uhrin tietojen suodattaminen. Valitut tiedostot pakataan ensin joko 7zipin tai WinZipin kautta. Myöhemmin FileZillan Rclonea (SFTP) käytetään ilmoittamiseen ennen kuin tiedot lopulta suodatetaan Mega.io-pilvitallennustilaan. Tutkijoiden mukaan kaksi hakemistoa, joita käytettiin tietojen suodattamisen vaiheittaisessa vaiheessa, ovat C:\Perflogs ja C:\Recovery.

Ryhmä on perustanut kaksi tietovuotosivustoa jo kesäkuussa 2021, kuukausia ennen ensimmäistä uhkaavaa toimintaansa. Infosec-tutkijoiden tunnistamat kaksi sivustoa ovat karakurt.group ja karakurt.tech. Hakkeriryhmällä on myös elokuussa luotu Twitter-tili.