Il nuovo attore delle minacce di Karakurt si concentra sull'estorsione, non sul ransomware

I ricercatori della società di sicurezza Accenture hanno pubblicato un rapporto su un nuovo grande nome nel panorama degli attori delle minacce. La nuova entità si chiama Karakurt e secondo i ricercatori è riuscita a mettere a segno più di 40 vittime in pochi mesi nel 2021.

Karakurt è un portmanteau delle parole turche per "nero" e "lupo" e si incontra anche come cognome turco. È anche un altro nome per il ragno vedova nera europea. Va notato che questo non è un nome dato all'attrezzatura dai ricercatori della sicurezza, ma uno che il gruppo ha scelto per se stesso.

Attore minaccioso in cerca di estorsione per ransomware

Karakurt è apparso come un segnale rosso sui radar dei ricercatori a metà del 2021, ma ha ripreso in modo significativo l'attività negli ultimi mesi. Accenture descrive l'attore della minaccia come "finanziariamente motivato, opportunista" e apparentemente mirato a entità più piccole, stando lontano dal "grande gioco". Non è troppo difficile immaginare il motivo, dopo quello che è successo con il gruppo Darkside dopo che uno dei loro affiliati ha lanciato un attacco paralizzante contro Colonial Pipeline negli Stati Uniti e ha portato un incredibile contraccolpo su Darkside, portando all'apparente arresto dell'attore della minaccia.

Simile alla maggior parte degli attori di ransomware, Karakurt ha preso di mira principalmente aziende ed entità situate sul suolo statunitense, con solo il 5% degli attacchi totali diretti a obiettivi in Europa. Tuttavia, le somiglianze con la maggior parte dei ransomware nella modalità di funzionamento finiscono qui. Karakurt non è una banda di ransomware.

Invece, il nuovo attore delle minacce si è concentrato su un approccio più rapido: entrare e uscire rapidamente, esfiltrare quanti più dati sensibili possibile e quindi estorcere denaro per le informazioni rubate.

Accenture ritiene inoltre che questo approccio diventerà sempre più popolare tra gli attori delle minacce in futuro e si aspetta un leggero passaggio dal ransomware a un puro approccio "esfiltrazione ed estorsione", combinato con uno spostamento verso obiettivi che non causino interruzioni sociali o infrastrutturali quando colpo.

I metodi e gli strumenti di Karakurt

Karakurt utilizza strumenti e applicazioni già installati sulle reti delle vittime per l'infiltrazione. Il metodo comune per l'infiltrazione negli attacchi del gruppo finora è stato l'utilizzo di credenziali di accesso VPN legittime. Come siano stati ottenuti, tuttavia, non è chiaro.

Da questo punto in poi, Accenture dipinge un'immagine delle azioni di Karakurt che ormai è fin troppo familiare: i fari Cobalt Strike per la comunicazione di comando e controllo. Lo spostamento laterale tra le reti viene ottenuto utilizzando qualsiasi strumento disponibile, da PowerShell ad applicazioni dannose di terze parti. Il gruppo di hacker utilizza strumenti di compressione popolari per comprimere i dati rubati prima di inviarli a mega dot io per l'archiviazione.