새로운 Karakurt 위협 행위자는 랜섬웨어가 아닌 갈취에 중점을 둡니다.

보안 회사 Accenture의 연구원들은 위협 행위자 환경에서 새로운 유명 인사에 대한 보고서를 발표했습니다. 카라쿠르트(Karakurt)라고 불리는 이 새로운 조직은 연구원들에 따르면 2021년에 단 몇 달 만에 40명 이상의 희생자를 냈습니다.

Karakurt는 "검은색"과 "늑대"를 뜻하는 터키어 단어의 합성어로 터키어 성으로도 사용됩니다. 또한 유럽 검은 과부 거미의 다른 이름이기도 합니다. 이것은 보안 연구원이 부여한 이름이 아니라 그룹이 자체적으로 선택한 이름이라는 점에 유의해야 합니다.

랜섬웨어로 갈취하려는 위협 행위자

Karakurt는 2021년 중반에 연구원 레이더에 적신호로 등장했지만 지난 몇 달 동안 활동이 크게 증가했습니다. Accenture는 위협 행위자가 "재정적으로 동기가 부여되고 기회주의적"이며 "큰 게임"에서 멀리 떨어져 있는 작은 엔터티를 표적으로 하는 것처럼 보입니다. 그들의 계열사 중 하나가 미국의 Colonial Pipeline에 심각한 공격을 시작하고 Darkside에 엄청난 반발을 불러일으킨 후 Darkside 그룹에 발생한 일 이후에 그 이유를 상상하는 것은 그리 어렵지 않습니다.

대부분의 랜섬웨어 공격자들과 마찬가지로 Karakurt는 주로 미국 영토에 있는 회사 및 법인을 표적으로 삼고 있으며 전체 공격의 5%만이 유럽을 표적으로 삼고 있습니다. 그러나 작동 모드에서 대부분의 랜섬웨어 와 유사한 점은 여기서 끝입니다. Karakurt는 랜섬웨어 갱이 아닙니다.

그 대신, 새로운 위협 행위자는 더 빠른 접근 방식에 초점을 맞췄습니다. 신속하게 출입하고, 가능한 한 많은 민감한 데이터를 빼낸 다음, 훔친 정보에 대해 돈을 갈취했습니다.

Accenture는 또한 이 접근 방식이 미래에 위협 행위자들 사이에서 점점 더 대중화될 것이라고 믿고 있으며, 랜섬웨어에서 순수한 "수출 및 갈취" 접근 방식으로 약간의 전환을 기대하고 있습니다. 때리다.

Karakurt의 방법과 도구

Karakurt는 침투를 위해 피해자 네트워크에 이미 설치된 도구와 애플리케이션을 사용합니다. 지금까지 그룹의 공격에 침투하는 일반적인 방법은 합법적인 VPN 로그인 자격 증명을 사용하는 것이었습니다. 그러나 그것들을 어떻게 얻었는지는 분명하지 않다.

이 시점부터 Accenture는 명령 및 제어 통신을 위한 Cobalt Strike 비콘 과 같이 지금은 너무나 친숙한 Karakurt의 행동을 그림으로 그립니다. 네트워크를 통한 측면 이동은 PowerShell에서 타사 악성 애플리케이션에 이르기까지 사용 가능한 모든 도구를 사용하여 이루어집니다. 해커 복장은 저장을 위해 메가 닷 io로 보내기 전에 훔친 데이터를 압축하기 위해 인기 있는 압축 도구를 사용합니다.