Computer Security Новый исполнитель угроз Karakurt сосредоточен на...

Новый исполнитель угроз Karakurt сосредоточен на вымогательстве, а не на программах-вымогателях

Исследователи из охранной фирмы Accenture опубликовали отчет о новом громком имени в среде злоумышленников. Новое образование называется Каракурт, и, по мнению исследователей, всего за несколько месяцев в 2021 году ему удалось забить более 40 жертв.

Каракурт - это комбинация турецких слов, обозначающих «черный» и «волк», а также встречается как турецкая фамилия. Это также другое название европейского паука черной вдовы. Следует отметить, что это не имя, данное группе исследователями безопасности, а то, которое группа выбрала для себя.

Злоумышленник занимается вымогательством

Каракурт стал красной меткой на радарах исследователей в середине 2021 года, но за последние несколько месяцев его активность значительно возросла. Accenture описывает злоумышленника как «финансово мотивированного, оппортунистического» и, по-видимому, нацеленного на более мелкие организации, избегая «большой игры». Нетрудно представить, почему это произошло после того, что произошло с группой Darkside после того, как одно из их филиалов начало разрушительную атаку на Colonial Pipeline в США и вызвало невероятную негативную реакцию на Darkside, что привело к очевидному отключению злоумышленника.

Как и большинство программ-вымогателей, Karakurt в первую очередь нацелился на компании и организации, расположенные на территории США, и лишь 5% от общего числа атак были направлены на цели в Европе. Однако на этом сходство с большинством программ-вымогателей в режиме работы заканчивается. Karakurt - это не банда вымогателей .

Вместо этого новый злоумышленник сосредоточился на более быстром подходе - быстро входить и выходить, извлекая как можно больше конфиденциальных данных, а затем вымогая деньги за украденную информацию.

Accenture также считает, что этот подход будет становиться все более популярным среди злоумышленников в будущем, и ожидает небольшой сдвиг от программ-вымогателей к чистому подходу «эксфильтрация и вымогательство» в сочетании с переходом к целям, которые не вызовут социальных или инфраструктурных нарушений, когда ударил.

Методы и инструменты каракурта

Каракурт использует для проникновения инструменты и приложения, уже установленные в сети жертв. До сих пор распространенным методом проникновения в атаки группы было использование законных учетных данных для входа в VPN. Однако неясно, как они были получены.

С этого момента Accenture рисует картину действий Каракурта, которая уже слишком хорошо знакома: маяки Cobalt Strike для командования и управления. Боковое перемещение по сети достигается с помощью любых доступных инструментов, от PowerShell до сторонних вредоносных приложений. Хакерское подразделение использует популярные инструменты сжатия для упаковки украденных данных перед отправкой их на хранение в мегапункт io.

Загрузка...