Uusi Karakurt-uhkanäyttelijä keskittyy kiristykseen, ei kiristysohjelmiin

Tietoturvayhtiö Accenturen tutkijat julkaisivat raportin uudesta suuresta nimestä uhkatoimijoiden maisemassa. Uusi kokonaisuus on nimeltään Karakurt, ja se on tutkijoiden mukaan onnistunut saamaan yli 40 uhria muutamassa kuukaudessa vuonna 2021.

Karakurt on portmanteau turkin sanoista "musta" ja "susi", ja se esiintyy myös turkkilaisena sukunimenä. Se on myös toinen nimi eurooppalaiselle mustaleskihämähäkille. On syytä huomata, että tämä ei ole turvallisuustutkijoilta asustukselle annettu nimi, vaan se, jonka ryhmä on valinnut itselleen.

Uhkanäyttelijä, joka pyrkii kiristämään kiristysohjelmia

Karakurt nousi tutkijoiden tutkissa punaisena pilkuna vuoden 2021 puolivälissä, mutta sen aktiivisuus on lisääntynyt merkittävästi viimeisten kuukausien aikana. Accenture kuvailee uhkatoimijaa "taloudellisesti motivoituneeksi, opportunistiksi" ja näennäisesti kohdistuvaksi pienempiin kokonaisuuksiin pysyen erossa "suuresta pelistä". Ei ole liian vaikea kuvitella, miksi näin on sen jälkeen, mitä tapahtui Darkside-ryhmän kanssa sen jälkeen, kun yksi sen tytäryhtiöistä käynnisti lamauttavan hyökkäyksen Colonial Pipelinea vastaan Yhdysvalloissa ja aiheutti uskomattoman vastareaktion Darksidelle, mikä johti uhkatoimijan ilmeiseen sulkemiseen.

Kuten useimmat kiristyshaittaohjelmien toimijat, Karakurt on kohdistanut ensisijaisesti Yhdysvaltojen maaperällä sijaitseviin yrityksiin ja yhteisöihin, ja vain 5 % kaikista hyökkäyksistä kohdistuu kohteisiin Euroopassa. Toimintatavan yhtäläisyydet useimpien kiristysohjelmien kanssa päättyvät kuitenkin tähän. Karakurt ei ole ransomware - jengi .

Sen sijaan uusi uhkatekijä keskittyi nopeampaan lähestymistapaan - menemään sisään ja ulos nopeasti, suodattamaan mahdollisimman paljon arkaluonteisia tietoja ja sitten kiristämään rahaa varastetuista tiedoista.

Accenture uskoo myös, että tästä lähestymistavasta tulee yhä suositumpi uhkatekijöiden keskuudessa tulevaisuudessa, ja odottaa pientä siirtymistä lunnasohjelmista puhtaaseen "exfiltrate and extort" -lähestymistapaan yhdistettynä siirtymiseen kohti kohteita, jotka eivät aiheuta yhteiskunnallisia tai infrastruktuurin häiriöitä, kun osuma.

Karakurtin menetelmät ja työkalut

Karakurt käyttää tunkeutumiseen työkaluja ja sovelluksia, jotka on jo asennettu uhriverkkoihin. Yleinen tapa tunkeutua ryhmän hyökkäyksiin on tähän mennessä ollut laillisten VPN-kirjautumistietojen käyttö. Se, miten ne on saatu, ei kuitenkaan ole selvää.

Tästä eteenpäin Accenture maalaa kuvan Karakurtin toiminnasta, joka on jo aivan liian tuttu - Cobalt Strike -majakat komento- ja ohjausviestintään. Sivuttaisliike verkkojen välillä saavutetaan kaikilla käytettävissä olevilla työkaluilla PowerShellistä kolmannen osapuolen haittaohjelmiin. Hakkeriasu käyttää suosittuja pakkaustyökaluja varastetun datan pakkaamiseen ennen sen lähettämistä mega dot io:lle tallennettavaksi.