Karakurt

Karakurt este un grup nou de criminalitate cibernetică care în doar câteva luni a reușit să lovească peste 40 de victime. Spre deosebire de majoritatea grupurilor APT motivate financiar, Karakurt nu criptează datele victimelor printr-o amenințare ransomware. În schimb, operațiunile sale sunt concentrate pe exfiltrarea datelor sensibile din sistemele încălcate și apoi extorcarea victimelor prin amenințarea că vor elibera publicului informațiile obținute.

O altă caracteristică distinctă a lui Karakurt este că hackerii s-au abătut de la abordarea tipică de a viza marile corporații sau serviciile de infrastructură critică. În schimb, hackerii prezintă o abordare mai rapidă în care compromit companiile mai mici sau filialele corporative. Acest lucru îi permite lui Karakurt să treacă la următoarea victimă repede. Până acum, majoritatea organizațiilor compromise au fost din America de Nord, Europa fiind pe locul secund.

Tactici adaptative de amenințare

Hackerii Karakurt au demonstrat, de asemenea, capacitatea de a adopta noi tehnici rapid și schimbați amenințările malware utilizate. Potrivit cercetătorilor Infosec de la Accenture Security, care au monitorizat activitățile grupului, Karakurt folosește acreditări VPN legitime ca vector de acces inițial. Cu toate acestea, până acum nu a fost determinat cum obțin hackerii aceste acreditări.

Odată intrați în rețea, infractorii cibernetici obțin persistență, încearcă să se miște lateral și exploatează instrumentele sau caracteristicile deja existente în mediul vizat, o abordare cunoscută sub numele de „a trăi din pământ”. Pentru persistență, Karakurt a fost observat folosind mai multe metode diferite. Inițial, acestea au inclus crearea de servicii, implementarea instrumentelor de management de la distanță și răspândirea amenințărilor backdoor în sistemele victimei, cum ar fi balizele Cobalt Strike. In orice caz, Operațiunile mai recente Karakurt au renunțat la Cobalt Strike și, în schimb, au stabilit persistența prin intermediul rețelei prin pool IP VPN și AnyDesk, o aplicație desktop la distanță. Dacă hackerii nu reușesc să obțină privilegii ridicate prin intermediul acreditărilor deținute, ei vor încerca să facă acest lucru prin implementarea Mimikatz sau folosind PowerShell.

Furtul de date

Ultimul pas în atac este exfiltrarea datelor victimei. Fișierele alese sunt mai întâi comprimate fie prin 7zip, fie prin WinZip. Ulterior, Rclone of FileZilla (SFTP) este folosit pentru a declara înainte ca informațiile să fie în cele din urmă exfiltrate în stocarea în cloud Mega.io. Potrivit cercetătorilor, două directoare care au fost utilizate în etapa de pregătire a exfiltrării datelor sunt C:\Perflogs și C:\Recovery.

Grupul a înființat două site-uri de scurgere de date încă din iunie 2021, cu luni înainte de primele operațiuni amenințătoare. Cele două site-uri identificate de cercetătorii infosec sunt karakurt.group și karakurt.tech. Grupul de hackeri are și un cont de Twitter care a fost creat în august.