Ny Karakurt-trusselskuespiller fokuserer på utpressing, ikke løsepenger

Forskere med sikkerhetsfirmaet Accenture publiserte en rapport om et nytt stort navn i trusselaktørlandskapet. Den nye enheten heter Karakurt og har ifølge forskere klart å score mer enn 40 ofre på bare noen få måneder i 2021.

Karakurt er et sammendrag av de tyrkiske ordene for "svart" og "ulv", og er også påtruffet som et tyrkisk etternavn. Det er også et annet navn for den europeiske svarte enkeedderkoppen. Det skal bemerkes at dette ikke er et navn gitt til antrekket av sikkerhetsforskere, men et navn som gruppen valgte selv.

Trusselskuespiller går for utpressing på grunn av løsepengevare

Karakurt kom opp som et rødt blikk på forskerradarer i midten av 2021, men har økt betydelig i aktivitet de siste månedene. Accenture beskriver trusselaktøren som "økonomisk motivert, opportunistisk" og tilsynelatende rettet mot mindre enheter, og holder seg unna "stort spill". Ikke så vanskelig å forestille seg hvorfor det er, etter det som skjedde med Darkside-gruppen etter at en av deres tilknyttede selskaper startet et lammende angrep mot Colonial Pipeline i USA og brakte utrolige tilbakeslag på Darkside, noe som førte til den tilsynelatende nedleggelsen av trusselaktøren.

I likhet med de fleste løsepengevareaktører har Karakurt først og fremst vært rettet mot selskaper og enheter lokalisert på amerikansk jord, med bare 5 % av de totale angrepene som går etter mål i Europa. Imidlertid slutter likhetene med de fleste løsepengevare i driftsmodusen her. Karakurt er ikke en løsepengevaregjeng .

I stedet fokuserte den nye trusselaktøren på en raskere tilnærming – gå raskt inn og ut, eksfiltrere så mye sensitiv data som mulig, og deretter presse penger for den stjålne informasjonen.

Accenture tror også at denne tilnærmingen vil bli stadig mer populær blant trusselaktører i fremtiden, og forventer et lite skifte bort fra løsepengevare til en ren "eksfiltrere og utpresse"-tilnærming, kombinert med et skifte mot mål som ikke vil forårsake samfunnsmessige eller infrastrukturelle forstyrrelser når truffet.

Karakurts metoder og verktøy

Karakurt bruker verktøy og applikasjoner som allerede er installert på offernettverk for infiltrasjon. Den vanlige metoden for infiltrasjon i gruppens angrep så langt har vært å bruke legitime VPN-påloggingsopplysninger. Hvordan disse ble oppnådd er imidlertid ikke klart.

Fra dette tidspunktet maler Accenture et bilde av Karakurts handlinger som er alt for kjent nå - Cobalt Strike-fyrtårn for kommando- og kontrollkommunikasjon. Sideveis bevegelse på tvers av nettverk oppnås ved å bruke alle tilgjengelige verktøy, fra PowerShell til skadelige tredjepartsapplikasjoner. Hacker-antrekket bruker populære komprimeringsverktøy for å pakke de stjålne dataene før de sendes til mega dot io for lagring.