Karakurt

Karakurt è un gruppo di criminalità informatica di nuova costituzione che in appena un paio di mesi è riuscito a colpire oltre 40 vittime. A differenza della maggior parte dei gruppi APT motivati finanziariamente, Karakurt non crittografa i dati delle sue vittime tramite una minaccia ransomware. Invece, le sue operazioni si concentrano sull'esfiltrazione di dati sensibili dai sistemi violati e quindi sull'estorsione alle vittime minacciando di rilasciare al pubblico le informazioni ottenute.

Un'altra caratteristica distintiva di Karakurt è che gli hacker hanno deviato dall'approccio tipico di prendere di mira grandi aziende o servizi di infrastrutture critiche. Invece, gli hacker stanno esibendo un approccio più veloce in cui compromettono aziende più piccole o filiali aziendali. Ciò consente a Karakurt di passare alla prossima vittimarapidamente. Finora, la maggior parte delle organizzazioni compromesse proveniva dal Nord America, con l'Europa al secondo posto.

Tattiche minacciose adattive

Gli hacker di Karakurt hanno anche mostrato la capacità di adottare nuove tecnicherapidamente e passare alle minacce malware utilizzate. Secondo i ricercatori infosec di Accenture Security che hanno monitorato le attività del gruppo, Karakurt utilizza credenziali VPN legittime come vettore di accesso iniziale. Tuttavia, finora non è stato determinato come gli hacker ottengano queste credenziali.

Una volta all'interno della rete, i criminali informatici ottengono persistenza, cercano di spostarsi lateralmente e sfruttare strumenti o funzionalità già esistenti nell'ambiente di destinazione, un approccio noto come "vivere della terra". Per la persistenza, Karakurt è stato osservato utilizzando più metodi diversi. Inizialmente, questi includevano la creazione di servizi, l'implementazione di strumenti di gestione remota e la diffusione di minacce backdoor attraverso i sistemi della vittima, come i beacon Cobalt Strike. Tuttavia,le operazioni più recenti di Karakurt hanno abbandonato Cobalt Strike e stabiliscono invece la persistenza attraverso la rete tramite il pool di IP VPN e AnyDesk, un'applicazione desktop remota. Se gli hacker non riescono ad acquisire privilegi elevati tramite le credenziali in possesso, proveranno a farlo distribuendo Mimikatz o utilizzando PowerShell.

Furto di dati

Il passaggio finale dell'attacco è l'esfiltrazione dei dati della vittima. I file scelti vengono prima compressi tramite 7zip o WinZip. Successivamente, Rclone of FileZilla (SFTP) viene utilizzato per affermare prima che le informazioni vengano infine esfiltrate nel cloud storage Mega.io. Secondo i ricercatori, due directory utilizzate nella fase di staging dell'esfiltrazione dei dati sono C:\Perflogs e C:\Recovery.

Il gruppo ha creato due siti di fuga di dati già nel giugno 2021, mesi prima delle loro prime operazioni minacciose. I due siti individuati dai ricercatori di infosec sono karakurt.group e karakurt.tech. Il gruppo di hacker ha anche un account Twitter creato ad agosto.