Karakurt

O Karakurt é um grupo de cibercriminosos recém-estabelecido, que em apenas alguns meses conseguiu atingir mais de 40 vítimas. Ao contrário da maioria dos grupos APT com motivação financeira, o Karakurt não criptografa os dados de suas vítimas por meio de uma ameaça de ransomware. Em vez disso, suas operações se concentram em exfiltrar dados confidenciais dos sistemas violados e, em seguida, extorquir as vítimas, ameaçando divulgar as informações obtidas ao público.

Outra característica distinta do Karakurt é que os hackers se desviaram da abordagem típica de atingir grandes corporações ou serviços de infraestrutura crítica. Em vez disso, os hackers estão exibindo uma abordagem mais rápida em que comprometem empresas menores ou subsidiárias corporativas. Isso permite que o Karakurt passe para a próxima vítima rapidamente. Até agora, a maioria das organizações comprometidas era da América do Norte, com a Europa em um distante segundo lugar.

Táticas de uma Ameaça Adaptativa

Os hackers do Karakurt também demonstraram a capacidade de adotar novas técnicas rapidamente e mude as ameaças de malware usadas. De acordo com os pesquisadores da Infosec da Accenture Security que monitoram as atividades do grupo, o Karakurt emprega credenciais VPN legítimas como vetor de acesso inicial. No entanto, até o momento, não foi determinado como os hackers obtêm essas credenciais.

Uma vez dentro da rede, os cibercriminosos obtêm persistência, tentam mover-se lateralmente e explorar ferramentas ou recursos já existentes no ambiente de destino, uma abordagem conhecida como 'viver da terra'. Para persistência, o Karakurt foi observado usando vários métodos diferentes. Inicialmente, isso incluía a criação de serviços, implantação de ferramentas de gerenciamento remoto e disseminação de ameaças de backdoor nos sistemas da vítima, como beacons Cobalt Strike. Contudo,as operações mais recentes do Karakurt abandonaram o Cobalt Strike e, em vez disso, estabeleceram persistência por meio da rede por meio do pool de IP VPN e AnyDesk, um aplicativo de desktop remoto. Se os hackers não conseguirem adquirir privilégios elevados por meio das credenciais em posse, eles tentarão fazer isso implantando o Mimikatz ou usando o PowerShell.

Roubo de Dados

A etapa final do ataque é a exfiltração dos dados da vítima. Os arquivos escolhidos são compactados primeiro por meio do 7zip ou do WinZip. Posteriormente, Rclone of FileZilla (SFTP) é usado para declarar antes que a informação seja finalmente exfiltrada para o armazenamento na nuvem Mega.io De acordo com os pesquisadores, dois diretórios usados no estágio de preparação da exfiltração de dados são C:\Perflogs e C:\Recovery.

O grupo montou dois locais de vazamento de dados já em junho de 2021, meses antes de suas primeiras operações ameaçadoras. Os dois sites identificados pelos pesquisadores de infosec são karakurt.group e karakurt.tech. O grupo de hackers também tem uma conta no Twitter que foi criada em agosto.