Karakurt
काराकुर्ट एक नया स्थापित साइबर क्राइम समूह है जो कुछ ही महीनों में 40 से अधिक पीड़ितों को मारने में कामयाब रहा है। अधिकांश वित्तीय रूप से प्रेरित एपीटी समूहों के विपरीत, कराकुर्ट रैंसमवेयर खतरे के माध्यम से अपने पीड़ितों के डेटा को एन्क्रिप्ट नहीं करता है। इसके बजाय, इसके संचालन का ध्यान भंग प्रणालियों से संवेदनशील डेटा को बाहर निकालने और फिर प्राप्त जानकारी को जनता को जारी करने की धमकी देकर पीड़ितों को निकालने पर केंद्रित है।
करकट की एक और विशिष्ट विशेषता यह है कि हैकर्स बड़े निगमों या महत्वपूर्ण बुनियादी ढांचा सेवाओं को लक्षित करने के विशिष्ट दृष्टिकोण से विचलित हो गए हैं। इसके बजाय, हैकर्स तेजी से दृष्टिकोण प्रदर्शित कर रहे हैं जहां वे छोटी कंपनियों या कॉर्पोरेट सहायक कंपनियों से समझौता करते हैं। यह करकट को अगले शिकार के पास जाने की अनुमति देता हैतुरंत। अब तक, समझौता करने वाले अधिकांश संगठन उत्तरी अमेरिका से हैं, जिसमें यूरोप दूसरे स्थान पर है।
अनुकूली धमकी रणनीति
काराकुर्ट हैकर्स ने भी नई तकनीकों को अपनाने की क्षमता प्रदर्शित की हैतेजी से और उपयोग किए गए मैलवेयर खतरों को स्विच करें। समूह की गतिविधियों की निगरानी कर रहे एक्सेंचर सिक्योरिटी के इन्फोसेक शोधकर्ताओं के अनुसार, कराकुर्ट एक प्रारंभिक एक्सेस वेक्टर के रूप में वैध वीपीएन क्रेडेंशियल्स को नियोजित करता है। हालांकि, अभी तक यह पता नहीं चल पाया है कि हैकर्स इन क्रेडेंशियल्स को कैसे हासिल करते हैं।
एक बार नेटवर्क के अंदर, साइबर अपराधी दृढ़ता प्राप्त करते हैं, बाद में आगे बढ़ने की कोशिश करते हैं, और लक्षित वातावरण पर पहले से मौजूद उपकरणों या सुविधाओं का फायदा उठाते हैं, एक दृष्टिकोण जिसे 'भूमि से दूर रहने' के रूप में जाना जाता है। दृढ़ता के लिए, कई अलग-अलग तरीकों का उपयोग करते हुए करकट को देखा गया है। प्रारंभ में, उनमें सेवा निर्माण, रिमोट-मैनेजमेंट टूल को तैनात करना और पीड़ित के सिस्टम में पिछले दरवाजे के खतरों को फैलाना शामिल था, जैसे कोबाल्ट स्ट्राइक बीकन। हालाँकि,हाल ही में कराकुर्ट के संचालन ने कोबाल्ट स्ट्राइक को गिरा दिया है और इसके बजाय वीपीएन आईपी पूल और एनीडेस्क, एक दूरस्थ डेस्कटॉप एप्लिकेशन के माध्यम से नेटवर्क के माध्यम से दृढ़ता स्थापित की है। यदि हैकर्स पास किए गए क्रेडेंशियल्स के माध्यम से उन्नत विशेषाधिकार प्राप्त करने में विफल रहते हैं, तो वे Mimikatz को तैनात करके या पावरशेल का उपयोग करके ऐसा करने का प्रयास करेंगे।
डेटा चोरी
हमले का अंतिम चरण पीड़ित के डेटा को बाहर निकालना है। चुनी गई फ़ाइलों को पहले 7zip या WinZip के माध्यम से संपीड़ित किया जाता है। बाद में, फ़ाइलज़िला (SFTP) के Rclone का उपयोग यह बताने के लिए किया जाता है कि जानकारी को अंततः Mega.io क्लाउड स्टोरेज में स्थानांतरित कर दिया गया है। शोधकर्ताओं के अनुसार, डेटा एक्सफ़िल्टरेशन के स्टेजिंग चरण में उपयोग की जाने वाली दो निर्देशिकाएं C:\Perflogs और C:\Recovery हैं।
समूह ने अपने पहले धमकी भरे ऑपरेशन से महीनों पहले जून 2021 की शुरुआत में दो डेटा-लीक साइट स्थापित की हैं। इन्फोसेक के शोधकर्ताओं ने जिन दो साइटों की पहचान की है, वे हैं karakurt.group और karakurt.tech। हैकर ग्रुप का एक ट्विटर अकाउंट भी है जो अगस्त में बनाया गया था।
