Karakurt

Karakurt er en nyetablert nettkriminalitetsgruppe som på bare et par måneder har klart å ramme over 40 ofre. I motsetning til flertallet av økonomisk motiverte APT-grupper, krypterer ikke Karakurt dataene til ofrene sine via en løsepengevaretrussel. I stedet er operasjonene fokusert på å eksfiltrere sensitive data fra de brutte systemene og deretter presse ofrene ved å true med å frigi den innhentede informasjonen til offentligheten.

Et annet tydelig kjennetegn ved Karakurt er at hackerne har avviket fra den typiske tilnærmingen med å målrette mot store selskaper eller kritiske infrastrukturtjenester. I stedet viser hackerne en raskere tilnærming der de kompromitterer mindre selskaper eller datterselskaper. Dette gjør at Karakurt kan flytte til neste offerraskt. Så langt har flertallet av de kompromitterte organisasjonene vært fra Nord-Amerika, med Europa som et fjernt nummer to.

Adaptiv truende taktikk

Karakurt-hackerne har også vist evnen til å ta i bruk nye teknikkerraskt og bytt de brukte malware-truslene. I følge infosec-forskerne ved Accenture Security som har overvåket aktivitetene til gruppen, bruker Karakurt legitim VPN-legitimasjon som en første tilgangsvektor. Det har imidlertid ikke blitt fastslått hvordan hackerne skaffer seg denne legitimasjonen.

Når de er inne i nettverket, oppnår cyberkriminelle utholdenhet, prøver å bevege seg sideveis og utnytter verktøy eller funksjoner som allerede eksisterer i det målrettede miljøet, en tilnærming kjent som "å leve av landet." For utholdenhet har Karakurt blitt observert ved å bruke flere forskjellige metoder. Til å begynne med inkluderte disse opprettelse av tjenester, distribusjon av fjernstyringsverktøy og spredning av bakdørstrusler på tvers av offerets systemer, for eksempel Cobalt Strike-beacons. Derimot,nyere Karakurt-operasjoner har droppet Cobalt Strike og i stedet etablerer utholdenhet gjennom nettverket via VPN IP-pool og AnyDesk, en ekstern skrivebordsapplikasjon. Hvis hackerne ikke klarer å tilegne seg forhøyede privilegier gjennom den besittende legitimasjonen, vil de prøve å gjøre det ved å distribuere Mimikatz eller bruke PowerShell.

Datatyveri

Det siste trinnet i angrepet er eksfiltrering av offerets data. De valgte filene komprimeres først gjennom enten 7zip eller WinZip. Etterpå brukes Rclone of FileZilla (SFTP) for å oppgi før informasjonen til slutt eksfiltreres til Mega.io skylagring. Ifølge forskere er to kataloger som ble brukt i iscenesettelsen av dataeksfiltreringen C:\Perflogs og C:\Recovery.

Gruppen har satt opp to datalekkasjesteder så tidlig som i juni 2021, måneder før deres første truende operasjoner. De to nettstedene identifisert av infosec-forskere er karakurt.group og karakurt.tech. Hackergruppen har også en Twitter-konto som ble opprettet i august.