Karakurt

Karakurt është një grup i sapokrijuar i krimit kibernetik që në vetëm dy muaj ka arritur të godasë mbi 40 viktima. Ndryshe nga shumica e grupeve APT të motivuara financiarisht, Karakurt nuk i kodon të dhënat e viktimave të tij nëpërmjet një kërcënimi ransomware. Në vend të kësaj, operacionet e saj përqendrohen në nxjerrjen e të dhënave të ndjeshme nga sistemet e shkelura dhe më pas zhvatjen e viktimave duke kërcënuar se do të publikojë informacionin e marrë.

Një tjetër karakteristikë e dallueshme e Karakurt është se hakerët kanë devijuar nga qasja tipike e synimit të korporatave të mëdha ose shërbimeve kritike të infrastrukturës. Në vend të kësaj, hakerët po shfaqin një qasje më të shpejtë ku komprometojnë kompanitë më të vogla ose filialet e korporatave. Kjo i lejon Karakurt të kalojë te viktima tjetër shpejt. Deri më tani, shumica e organizatave të komprometuara kanë qenë nga Amerika e Veriut, ku Evropa është një e dyta e largët.

Taktikat Kërcënuese Adaptive

Hakerët Karakurt kanë shfaqur gjithashtu aftësinë për të adoptuar teknika të reja me shpejtësi dhe ndërroni kërcënimet e malware të përdorura. Sipas studiuesve të infosec në Accenture Security të cilët kanë monitoruar aktivitetet e grupit, Karakurt përdor kredencialet legjitime VPN si një vektor fillestar të aksesit. Megjithatë, ende nuk është përcaktuar se si hakerët i marrin këto kredenciale.

Pasi hyjnë në rrjet, kriminelët kibernetikë arrijnë këmbëngulje, përpiqen të lëvizin anash dhe shfrytëzojnë mjetet ose veçoritë ekzistuese tashmë në mjedisin e synuar, një qasje e njohur si 'të jetosh jashtë tokës'. Për këmbëngulje, Karakurt është vëzhguar duke përdorur metoda të shumta të ndryshme. Fillimisht, ato përfshinin krijimin e shërbimit, vendosjen e mjeteve të menaxhimit në distancë dhe përhapjen e kërcënimeve nga prapavija nëpër sistemet e viktimës, siç janë beacons Cobalt Strike. Megjithatë, operacionet më të fundit të Karakurt kanë hequr Cobalt Strike dhe në vend të kësaj kanë vendosur qëndrueshmëri përmes rrjetit përmes VPN IP pool dhe AnyDesk, një aplikacion desktopi në distancë. Nëse hakerët nuk arrijnë të fitojnë privilegje të larta përmes kredencialeve të zotëruara, ata do të përpiqen ta bëjnë këtë duke vendosur Mimikatz ose duke përdorur PowerShell.

Vjedhja e të dhënave

Hapi i fundit në sulm është nxjerrja e të dhënave të viktimës. Skedarët e zgjedhur fillimisht kompresohen përmes 7zip ose WinZip. Më pas, Rclone of FileZilla (SFTP) përdoret për të deklaruar përpara se informacioni të eksfiltohet përfundimisht në ruajtjen e reve Mega.io. Sipas studiuesve, dy drejtori që u përdorën në fazën e skedimit të ekfiltrimit të të dhënave janë C:\Perflogs dhe C:\Recovery.

Grupi ka ngritur dy faqe të rrjedhjes së të dhënave që në qershor 2021, muaj para operacioneve të tyre të para kërcënuese. Dy vendet e identifikuara nga studiuesit e infosec janë karakurt.group dhe karakurt.tech. Grupi i hakerëve ka gjithashtu një llogari në Twitter që u krijua në gusht.