ਕਰਾਕੁਰਟ

ਕਰਾਕੁਰਟ ਇੱਕ ਨਵਾਂ ਸਥਾਪਿਤ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਸਮੂਹ ਹੈ ਜੋ ਸਿਰਫ ਕੁਝ ਮਹੀਨਿਆਂ ਵਿੱਚ 40 ਤੋਂ ਵੱਧ ਪੀੜਤਾਂ ਨੂੰ ਮਾਰਨ ਵਿੱਚ ਕਾਮਯਾਬ ਰਿਹਾ ਹੈ। ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਪ੍ਰੇਰਿਤ APT ਸਮੂਹਾਂ ਦੇ ਬਹੁਗਿਣਤੀ ਦੇ ਉਲਟ, Karakurt ਇੱਕ ransomware ਧਮਕੀ ਦੁਆਰਾ ਆਪਣੇ ਪੀੜਤਾਂ ਦੇ ਡੇਟਾ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਨਹੀਂ ਕਰਦਾ ਹੈ। ਇਸ ਦੀ ਬਜਾਏ, ਇਸਦੇ ਸੰਚਾਲਨ ਉਲੰਘਣਾ ਕੀਤੇ ਸਿਸਟਮਾਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢਣ ਅਤੇ ਫਿਰ ਪ੍ਰਾਪਤ ਕੀਤੀ ਜਾਣਕਾਰੀ ਨੂੰ ਜਨਤਾ ਨੂੰ ਜਾਰੀ ਕਰਨ ਦੀ ਧਮਕੀ ਦੇ ਕੇ ਪੀੜਤਾਂ ਦੀ ਲੁੱਟ ਕਰਨ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਹਨ।

ਕਰਾਕੁਰਟ ਦੀ ਇਕ ਹੋਰ ਵਿਸ਼ੇਸ਼ ਵਿਸ਼ੇਸ਼ਤਾ ਇਹ ਹੈ ਕਿ ਹੈਕਰ ਵੱਡੀਆਂ ਕਾਰਪੋਰੇਸ਼ਨਾਂ ਜਾਂ ਨਾਜ਼ੁਕ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਸੇਵਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਦੀ ਵਿਸ਼ੇਸ਼ ਪਹੁੰਚ ਤੋਂ ਭਟਕ ਗਏ ਹਨ। ਇਸ ਦੀ ਬਜਾਏ, ਹੈਕਰ ਇੱਕ ਤੇਜ਼ ਪਹੁੰਚ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰ ਰਹੇ ਹਨ ਜਿੱਥੇ ਉਹ ਛੋਟੀਆਂ ਕੰਪਨੀਆਂ ਜਾਂ ਕਾਰਪੋਰੇਟ ਸਹਾਇਕ ਕੰਪਨੀਆਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਦੇ ਹਨ। ਇਹ ਕਰਾਕੁਰਟ ਨੂੰ ਅਗਲੇ ਸ਼ਿਕਾਰ ਵੱਲ ਜਾਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ ਜਲਦੀ. ਹੁਣ ਤੱਕ, ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਸੰਗਠਨਾਂ ਦੀ ਬਹੁਗਿਣਤੀ ਉੱਤਰੀ ਅਮਰੀਕਾ ਤੋਂ ਹੈ, ਯੂਰਪ ਦੂਜੇ ਸਥਾਨ 'ਤੇ ਹੈ।

ਅਨੁਕੂਲ ਧਮਕੀਆਂ ਦੀਆਂ ਰਣਨੀਤੀਆਂ

ਕਰਾਕੁਰਟ ਹੈਕਰਾਂ ਨੇ ਨਵੀਂ ਤਕਨੀਕ ਅਪਣਾਉਣ ਦੀ ਕਾਬਲੀਅਤ ਵੀ ਦਿਖਾਈ ਹੈ ਵਰਤੀਆਂ ਗਈਆਂ ਮਾਲਵੇਅਰ ਖਤਰਿਆਂ ਨੂੰ ਤੇਜ਼ੀ ਨਾਲ ਅਤੇ ਸਵਿਚ ਕਰੋ। Accenture ਸਕਿਓਰਿਟੀ ਦੇ ਇਨਫੋਸੈਕਸ ਖੋਜਕਰਤਾਵਾਂ ਦੇ ਅਨੁਸਾਰ ਜੋ ਸਮੂਹ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰ ਰਹੇ ਹਨ, ਕਰਾਕੁਰਟ ਇੱਕ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਵੈਕਟਰ ਵਜੋਂ ਜਾਇਜ਼ VPN ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਅਜੇ ਤੱਕ ਇਹ ਨਿਰਧਾਰਤ ਨਹੀਂ ਕੀਤਾ ਗਿਆ ਹੈ ਕਿ ਹੈਕਰ ਇਹ ਪ੍ਰਮਾਣ ਪੱਤਰ ਕਿਵੇਂ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਨ।

ਇੱਕ ਵਾਰ ਨੈਟਵਰਕ ਦੇ ਅੰਦਰ, ਸਾਈਬਰ ਅਪਰਾਧੀ ਦ੍ਰਿੜਤਾ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਨ, ਬਾਅਦ ਵਿੱਚ ਅੱਗੇ ਵਧਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੇ ਹਨ, ਅਤੇ ਨਿਸ਼ਾਨੇ ਵਾਲੇ ਵਾਤਾਵਰਣ ਵਿੱਚ ਪਹਿਲਾਂ ਤੋਂ ਮੌਜੂਦ ਸਾਧਨਾਂ ਜਾਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ, ਜਿਸ ਨੂੰ 'ਜ਼ਮੀਨ ਤੋਂ ਬਾਹਰ ਰਹਿਣਾ' ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਦ੍ਰਿੜਤਾ ਲਈ, ਕਰਾਕੁਰਟ ਨੂੰ ਕਈ ਵੱਖ-ਵੱਖ ਤਰੀਕਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਦੇਖਿਆ ਗਿਆ ਹੈ। ਸ਼ੁਰੂ ਵਿੱਚ, ਇਹਨਾਂ ਵਿੱਚ ਸੇਵਾ ਸਿਰਜਣਾ, ਰਿਮੋਟ-ਪ੍ਰਬੰਧਨ ਸਾਧਨਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਨਾ ਅਤੇ ਪੀੜਤ ਦੇ ਸਿਸਟਮਾਂ ਵਿੱਚ ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਦੇ ਖਤਰਿਆਂ ਨੂੰ ਫੈਲਾਉਣਾ ਸ਼ਾਮਲ ਸੀ, ਜਿਵੇਂ ਕਿ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਬੀਕਨ। ਹਾਲਾਂਕਿ, ਹੋਰ ਤਾਜ਼ਾ ਕਰਾਕੁਰਟ ਓਪਰੇਸ਼ਨਾਂ ਨੇ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਨੂੰ ਛੱਡ ਦਿੱਤਾ ਹੈ ਅਤੇ ਇਸਦੀ ਬਜਾਏ VPN IP ਪੂਲ ਅਤੇ AnyDesk, ਇੱਕ ਰਿਮੋਟ ਡੈਸਕਟੌਪ ਐਪਲੀਕੇਸ਼ਨ ਦੁਆਰਾ ਨੈਟਵਰਕ ਦੁਆਰਾ ਸਥਿਰਤਾ ਸਥਾਪਿਤ ਕੀਤੀ ਹੈ। ਜੇਕਰ ਹੈਕਰ ਕੋਲ ਮੌਜੂਦ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੁਆਰਾ ਉੱਚਿਤ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਕਰਨ ਵਿੱਚ ਅਸਫਲ ਰਹਿੰਦੇ ਹਨ, ਤਾਂ ਉਹ Mimikatz ਨੂੰ ਤਾਇਨਾਤ ਕਰਕੇ ਜਾਂ PowerShell ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਅਜਿਹਾ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਨਗੇ।

ਡਾਟਾ ਚੋਰੀ

ਹਮਲੇ ਦਾ ਅੰਤਮ ਕਦਮ ਪੀੜਤ ਦੇ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢਣਾ ਹੈ। ਚੁਣੀਆਂ ਗਈਆਂ ਫਾਈਲਾਂ ਨੂੰ ਪਹਿਲਾਂ 7zip ਜਾਂ WinZip ਰਾਹੀਂ ਸੰਕੁਚਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਬਾਅਦ ਵਿੱਚ, ਫਾਈਲਜ਼ਿਲਾ (SFTP) ਦਾ Rclone Mega.io ਕਲਾਉਡ ਸਟੋਰੇਜ ਵਿੱਚ ਜਾਣਕਾਰੀ ਨੂੰ ਬਾਹਰ ਕੱਢਣ ਤੋਂ ਪਹਿਲਾਂ ਇਹ ਦੱਸਣ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਖੋਜਕਰਤਾਵਾਂ ਦੇ ਅਨੁਸਾਰ, ਦੋ ਡਾਇਰੈਕਟਰੀਆਂ ਜੋ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਦੇ ਸਟੇਜਿੰਗ ਪੜਾਅ ਵਿੱਚ ਵਰਤੀਆਂ ਗਈਆਂ ਸਨ C:\Perflogs ਅਤੇ C:\Recovery ਹਨ।

ਗਰੁੱਪ ਨੇ ਆਪਣੀਆਂ ਪਹਿਲੀਆਂ ਧਮਕੀਆਂ ਦੇਣ ਵਾਲੀਆਂ ਕਾਰਵਾਈਆਂ ਤੋਂ ਮਹੀਨੇ ਪਹਿਲਾਂ ਜੂਨ 2021 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਦੋ ਡਾਟਾ-ਲੀਕ ਸਾਈਟਾਂ ਸਥਾਪਤ ਕੀਤੀਆਂ ਹਨ। infosec ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਪਛਾਣੀਆਂ ਗਈਆਂ ਦੋ ਸਾਈਟਾਂ karakurt.group ਅਤੇ karakurt.tech ਹਨ। ਹੈਕਰ ਸਮੂਹ ਦਾ ਇੱਕ ਟਵਿੱਟਰ ਅਕਾਉਂਟ ਵੀ ਹੈ ਜੋ ਅਗਸਤ ਵਿੱਚ ਬਣਾਇਆ ਗਿਆ ਸੀ।