Nieuwe Karakurt Threat-acteur richt zich op afpersing, niet op ransomware

Onderzoekers van beveiligingsbedrijf Accenture hebben een rapport gepubliceerd over een nieuwe grote naam in het landschap van bedreigingsactoren. De nieuwe entiteit heet Karakurt en is er volgens onderzoekers in geslaagd om in 2021 in slechts enkele maanden tijd meer dan 40 slachtoffers te scoren.

Karakurt is een samentrekking van de Turkse woorden voor "zwart" en "wolf" en wordt ook aangetroffen als een Turkse familienaam. Het is ook een andere naam voor de Europese zwarte weduwespin. Opgemerkt moet worden dat dit geen naam is die door beveiligingsonderzoekers aan de outfit is gegeven, maar een naam die de groep voor zichzelf heeft gekozen.

Dreigingsacteur gaat voor afpersing vanwege ransomware

Karakurt verscheen halverwege 2021 als een rode vlek op de radars van onderzoekers, maar is de afgelopen maanden aanzienlijk toegenomen. Accenture beschrijft de dreigingsactor als "financieel gemotiveerd, opportunistisch" en schijnbaar gericht op kleinere entiteiten, wegblijvend van "big game". Niet zo moeilijk voor te stellen waarom dat is, na wat er gebeurde met de Darkside-groep nadat een van hun filialen een verlammende aanval op Colonial Pipeline in de VS lanceerde en een ongelooflijke terugslag op Darkside veroorzaakte, wat leidde tot de schijnbare sluiting van de dreigingsactor.

Net als de meeste ransomware-actoren heeft Karakurt zich voornamelijk gericht op bedrijven en entiteiten op Amerikaanse bodem, waarbij slechts 5% van de totale aanvallen op doelen in Europa gericht zijn. De overeenkomsten met de meeste ransomware in de werkingsmodus eindigen hier echter. Karakurt is geen ransomwarebende.

In plaats daarvan richtte de nieuwe dreigingsactor zich op een snellere aanpak - snel in- en uitstappen, zoveel mogelijk gevoelige gegevens exfiltreren en vervolgens geld afpersen voor de gestolen informatie.

Accenture is ook van mening dat deze aanpak in de toekomst steeds populairder zal worden onder dreigingsactoren en verwacht een lichte verschuiving van ransomware naar een pure "exfiltrate and afpers"-aanpak, gecombineerd met een verschuiving naar doelen die geen maatschappelijke of infrastructurele ontwrichting zullen veroorzaken wanneer raken.

De methoden en hulpmiddelen van Karakurt

Karakurt gebruikt tools en applicaties die al op slachtoffernetwerken zijn geïnstalleerd voor infiltratie. De gebruikelijke methode voor infiltratie in de aanvallen van de groep tot nu toe is het gebruik van legitieme VPN-inloggegevens. Hoe die zijn verkregen, is echter niet duidelijk.

Vanaf dit punt schetst Accenture een beeld van Karakurts acties dat inmiddels maar al te bekend is: Cobalt Strike-bakens voor commando- en controlecommunicatie. Zijdelingse verplaatsing over netwerken wordt bereikt met behulp van alle beschikbare tools, van PowerShell tot schadelijke toepassingen van derden. De hacker-outfit gebruikt populaire compressietools om de gestolen gegevens in te pakken voordat ze naar mega dot io worden gestuurd voor opslag.