O Novo Autor de Ameaças do Karakurt se Concentra na Extorsão, não em Ransomware
Os pesquisadores da empresa de segurança Accenture publicaram um relatório sobre um novo grande nome no cenário dos autores de ameaças. A nova entidade se chama Karakurt e, de acordo com os pesquisadores, conseguiu fazer mais de 40 vítimas em apenas alguns meses em 2021.
O Karakurt é uma junção das palavras turcas para "preto" e "lobo" e também é encontrada como um nome de família turco. É também um outro nome para a aranha viúva negra europeia. Ressalta-se que esse não é um nome dado ao grupo pelos pesquisadores de segurança, mas sim um nome que o próprio grupo escolheu.
Autor de Ameaça Indo para a Extorsão por Ransomware
O Karakurt apareceu como uma mancha vermelha nos radares dos pesquisadores em meados de 2021, mas aumentou significativamente sua atividade nos últimos meses. A Accenture descreve o autor da ameaça como "motivado financeiramente, oportunista" e aparentemente visando entidades menores, ficando longe do "grande jogo". Não é muito difícil imaginar por que isso, depois do que aconteceu com o grupo Darkside depois que um de seus afiliados lançou um ataque devastador contra Colonial Pipeline nos EUA e trouxe uma reação incrível no Darkside, levando ao aparente desligamento do autor da ameaça.
Semelhante à maioria dos autores de ransomware, o Karakurt tem como alvo principal empresas e entidades localizadas no solo dos EUA, com apenas 5% do total de ataques direcionados a alvos na Europa. No entanto, as semelhanças com a maioria dos ransomware no modo de operação terminam aqui. O Karakurt não é uma gangue de ransomware.
Em vez disso, o novo autor de ameaças se concentrou em uma abordagem mais rápida - entrar e sair rapidamente, exfiltrar o máximo possível de dados confidenciais e, em seguida, extorquir dinheiro pelas informações roubadas.
A Accenture também acredita que essa abordagem se tornará cada vez mais popular entre os agentes de ameaças no futuro e espera uma ligeira mudança do ransomware para uma abordagem pura de "exfiltrar e extorquir", combinada com uma mudança em direção para alvos que não causem perturbações sociais ou de infraestrutura quando bater.
Métodos e Ferramentas do Karakurt
O Karakurt usa ferramentas e aplicativos já instalados nas redes das vítimas para infiltração. O método comum de infiltração nos ataques do grupo até agora tem sido o uso de credenciais de login VPN legítimas. Como esses foram obtidos, no entanto, não está claro.
Deste ponto em diante, a Accenture pinta um quadro das ações do Karakurt que é muito familiar agora - sinalizadores Cobalt Strike para comunicação com o Comando e Controle. O movimento lateral através das redes é obtido usando qualquer ferramenta disponível, do PowerShell a aplicativos maliciosos de terceiros. O grupo de hackers usa ferramentas de compactação populares para empacotar os dados roubados antes de enviá-los para o Mega Ponto IO para armazenamento.