Karakurt

Karakurt je novoustanovljena skupina kibernetskih kriminalcev, ki je v samo nekaj mesecih uspela zadeti več kot 40 žrtev. Za razliko od večine finančno motiviranih skupin APT, Karakurt ne šifrira podatkov svojih žrtev z grožnjo z izsiljevalsko programsko opremo. Namesto tega je njeno delovanje osredotočeno na iztrebljanje občutljivih podatkov iz vlomljenih sistemov in nato izsiljevanje žrtev z grožnjo, da bo pridobljene informacije razkrilo javnosti.

Druga izrazita značilnost Karakurta je, da so hekerji odstopali od tipičnega pristopa ciljanja na velike korporacije ali kritične infrastrukturne storitve. Namesto tega hekerji izkazujejo hitrejši pristop, kjer ogrožajo manjša podjetja ali hčerinske družbe. To omogoča Karakurtu, da se premakne na naslednjo žrtev hitro. Doslej je bila večina ogroženih organizacij iz Severne Amerike, Evropa pa je bila daleč druga.

Prilagodljive ogrožajoče taktike

Karakurtski hekerji so pokazali tudi sposobnost sprejemanja novih tehnik hitro in zamenjajte uporabljene grožnje z zlonamerno programsko opremo. Po mnenju raziskovalcev infosec pri Accenture Security, ki spremljajo dejavnosti skupine, Karakurt uporablja legitimne poverilnice VPN kot začetni vektor dostopa. Vendar pa še ni bilo ugotovljeno, kako hekerji pridobijo te poverilnice.

Ko so v omrežju, kibernetski kriminalci dosežejo obstojnost, se poskušajo premikati stransko in izkoriščajo orodja ali funkcije, ki že obstajajo v ciljnem okolju, pristop, znan kot "življenje od zemlje". Zaradi obstojnosti so Karakurt opazovali z več različnimi metodami. Sprva so to vključevali ustvarjanje storitev, uvajanje orodij za daljinsko upravljanje in širjenje groženj iz zakulisja po sistemih žrtve, kot so svetilniki Cobalt Strike. Vendar pa novejše operacije Karakurt so opustili Cobalt Strike in namesto tega vzpostavili obstojnost prek omrežja prek bazena IP IP in AnyDesk, aplikacije za oddaljeno namizje. Če hekerjem ne uspe pridobiti povišanih privilegijev prek posedovanih poverilnic, bodo to poskušali storiti z namestitvijo Mimikatza ali uporabo PowerShell.

Kraja podatkov

Zadnji korak v napadu je iztrebljanje žrtvinih podatkov. Izbrane datoteke se najprej stisnejo prek 7zip ali WinZip. Nato se za navedbo uporablja Rclone of FileZilla (SFTP), preden se informacije končno izločijo v shrambo v oblaku Mega.io. Po mnenju raziskovalcev sta dva imenika, ki sta bila uporabljena v fazi uprizoritve eksfiltracije podatkov, C:\Perflogs in C:\Recovery.

Skupina je postavila dve mesti za uhajanje podatkov že junija 2021, mesece pred njihovimi prvimi grozečimi operacijami. Dve strani, ki so jih identificirali raziskovalci infosec, sta karakurt.group in karakurt.tech. Hekerska skupina ima tudi Twitter račun, ki je bil ustvarjen avgusta.