Nowy aktor Karakurt Threat koncentruje się na wymuszeniach, a nie na oprogramowaniu ransomware

Badacze z firmy Accenture zajmującej się bezpieczeństwem opublikowali raport na temat nowego wielkiego nazwiska w krajobrazie cyberprzestępców. Nowy podmiot nazywa się Karakurt i według naukowców zdołał zdobyć ponad 40 ofiar w ciągu zaledwie kilku miesięcy w 2021 roku.

Karakurt jest połączeniem tureckich słów oznaczających „czarny" i „wilk", a także występuje jako tureckie nazwisko rodowe. Jest to również inna nazwa europejskiego pająka czarnej wdowy. Należy zauważyć, że nie jest to nazwa nadana strojowi przez badaczy bezpieczeństwa, ale taka, którą grupa wybrała dla siebie.

Aktor zamierzający wyłudzić okup za oprogramowanie ransomware

Karakurt pojawił się jako czerwony punkt na radarach badaczy w połowie 2021 roku, ale w ciągu ostatnich kilku miesięcy znacznie zwiększył swoją aktywność. Accenture opisuje podmiot zagrażający jako „zmotywowany finansowo, oportunistyczny" i pozornie skierowany do mniejszych podmiotów, trzymający się z dala od „wielkiej gry". Nietrudno sobie wyobrazić, dlaczego tak jest, po tym, co stało się z grupą Darkside po tym, jak jeden z ich oddziałów przeprowadził paraliżujący atak na Colonial Pipeline w USA i wywołał niesamowitą reakcję na Darkside, prowadząc do pozornego wyłączenia aktora-groźby.

Podobnie jak większość podmiotów zajmujących się oprogramowaniem ransomware, Karakurt atakuje głównie firmy i podmioty zlokalizowane na terenie Stanów Zjednoczonych, przy czym zaledwie 5% wszystkich ataków dotyczy celów w Europie. Jednak na tym kończą się podobieństwa do większości oprogramowania ransomware w trybie działania. Karakurt nie jest gangiem ransomware.

Zamiast tego nowy aktor ds. zagrożeń skupił się na szybszym podejściu – szybkim wejściu i wyjściu, eksfiltrowaniu jak największej ilości poufnych danych, a następnie wyłudzaniu pieniędzy za skradzione informacje.

Accenture wierzy również, że podejście to stanie się coraz bardziej popularne wśród cyberprzestępców w przyszłości i oczekuje niewielkiego odejścia od oprogramowania ransomware do podejścia polegającego na wyłącznie „eksfiltracji i wymuszeniu", połączonego z przejściem na cele, które nie spowodują zakłóceń społecznych ani infrastrukturalnych, gdy uderzyć.

Metody i narzędzia Karakurta

Karakurt do infiltracji wykorzystuje narzędzia i aplikacje już zainstalowane w sieciach ofiar. Do tej pory powszechną metodą infiltracji ataków grupy było używanie legalnych danych logowania VPN. Nie jest jednak jasne, w jaki sposób je uzyskano.

Od tego momentu Accenture maluje obraz działań Karakurtu, który jest już aż nazbyt znajomy - latarnie Cobalt Strike do komunikacji dowodzenia i kontroli. Ruch poprzeczny w sieci odbywa się za pomocą dowolnych dostępnych narzędzi, od PowerShell po złośliwe aplikacje innych firm. Strój hakera wykorzystuje popularne narzędzia do kompresji, aby spakować skradzione dane przed wysłaniem ich do mega dot io w celu przechowywania.