Karakurt

Karakurt is een nieuw opgerichte cybercriminaliteitsgroep die in slechts een paar maanden tijd meer dan 40 slachtoffers heeft weten te raken. In tegenstelling tot de meeste financieel gemotiveerde APT-groepen, versleutelt Karakurt de gegevens van zijn slachtoffers niet via een ransomware-dreiging. In plaats daarvan zijn haar activiteiten gericht op het exfiltreren van gevoelige gegevens uit de geschonden systemen en het vervolgens afpersen van de slachtoffers door te dreigen de verkregen informatie vrij te geven aan het publiek.

Een ander onderscheidend kenmerk van Karakurt is dat de hackers zijn afgeweken van de typische aanpak om zich te richten op grote bedrijven of kritieke infrastructuurdiensten. In plaats daarvan vertonen de hackers een snellere aanpak waarbij ze kleinere bedrijven of dochterondernemingen compromitteren. Hierdoor kan Karakurt naar het volgende slachtoffer gaansnel. Tot dusverre kwam de meerderheid van de gecompromitteerde organisaties uit Noord-Amerika, met Europa op een verre tweede plaats.

Adaptieve dreigende tactieken

De Karakurt-hackers hebben ook het vermogen getoond om nieuwe technieken toe te passensnel en schakel de gebruikte malware-bedreigingen. Volgens de infosec-onderzoekers van Accenture Security die de activiteiten van de groep hebben gevolgd, gebruikt Karakurt legitieme VPN-referenties als initiële toegangsvector. Tot nu toe is echter niet vastgesteld hoe de hackers aan deze inloggegevens komen.

Eenmaal binnen in het netwerk bereiken de cybercriminelen volharding, proberen ze lateraal te bewegen en exploiteren ze tools of functies die al bestaan in de beoogde omgeving, een benadering die bekend staat als 'van het land leven'. Voor persistentie is Karakurt waargenomen met behulp van meerdere verschillende methoden. Aanvankelijk omvatte dat het creëren van diensten, het inzetten van tools voor beheer op afstand en het verspreiden van achterdeurbedreigingen over de systemen van het slachtoffer, zoals Cobalt Strike-bakens. Echter,meer recente Karakurt-operaties hebben Cobalt Strike laten vallen en in plaats daarvan persistentie tot stand brengen via het netwerk via VPN IP-pool en AnyDesk, een externe desktop-applicatie. Als de hackers er niet in slagen om verhoogde privileges te verkrijgen via de in bezit zijnde inloggegevens, zullen ze proberen dit te doen door Mimikatz te implementeren of PowerShell te gebruiken.

Data diefstal

De laatste stap in de aanval is de exfiltratie van de gegevens van het slachtoffer. De gekozen bestanden worden eerst gecomprimeerd via 7zip of WinZip. Daarna wordt Rclone of FileZilla (SFTP) gebruikt voor het vermelden voordat de informatie uiteindelijk wordt geëxfiltreerd naar de Mega.io-cloudopslag. Volgens onderzoekers zijn C:\Perflogs en C:\Recovery twee mappen die werden gebruikt in de faseringsfase van de gegevensexfiltratie.

De groep heeft al in juni 2021 twee dataleksites opgezet, maanden voor hun eerste dreigende operaties. De twee sites die door infosec-onderzoekers zijn geïdentificeerd, zijn karakurt.group en karakurt.tech. De hackergroep heeft ook een Twitter-account dat in augustus is aangemaakt.