கரகுர்ட்

கரகுர்ட் என்பது புதிதாக நிறுவப்பட்ட சைபர் கிரைம் குழுவாகும், இது ஒரு சில மாதங்களில் 40 க்கும் மேற்பட்ட பாதிக்கப்பட்டவர்களை தாக்க முடிந்தது. பெரும்பாலான நிதி சார்ந்த APT குழுக்களைப் போலல்லாமல், Karakurt அதன் பாதிக்கப்பட்டவர்களின் தரவை ransomware அச்சுறுத்தல் மூலம் குறியாக்கம் செய்யாது. மாறாக, அதன் செயல்பாடுகள் மீறப்பட்ட அமைப்புகளில் இருந்து முக்கியமான தரவை வெளியேற்றுவது மற்றும் பெறப்பட்ட தகவல்களை பொதுமக்களுக்கு வெளியிடுவதாக அச்சுறுத்துவதன் மூலம் பாதிக்கப்பட்டவர்களை மிரட்டி பணம் பறிப்பதில் கவனம் செலுத்துகிறது.

கராகுர்ட்டின் மற்றொரு தனித்துவமான பண்பு என்னவென்றால், பெரிய நிறுவனங்கள் அல்லது முக்கியமான உள்கட்டமைப்பு சேவைகளை குறிவைக்கும் வழக்கமான அணுகுமுறையிலிருந்து ஹேக்கர்கள் விலகிவிட்டனர். அதற்கு பதிலாக, ஹேக்கர்கள் சிறிய நிறுவனங்கள் அல்லது கார்ப்பரேட் துணை நிறுவனங்களை சமரசம் செய்யும் வேகமான அணுகுமுறையை வெளிப்படுத்துகின்றனர். இது கராகுர்ட்டை அடுத்த பாதிக்கப்பட்டவருக்கு செல்ல அனுமதிக்கிறது விரைவாக. இதுவரை, சமரசம் செய்யப்பட்ட அமைப்புகளில் பெரும்பாலானவை வட அமெரிக்காவைச் சேர்ந்தவை, ஐரோப்பா இரண்டாவது இடத்தில் உள்ளது.

தகவமைப்பு அச்சுறுத்தல் தந்திரங்கள்

கராகுர்ட் ஹேக்கர்கள் புதிய நுட்பங்களைப் பின்பற்றும் திறனையும் வெளிப்படுத்தியுள்ளனர் பயன்படுத்தப்பட்ட தீம்பொருள் அச்சுறுத்தல்களை விரைவாக மாற்றவும். அக்சென்ச்சர் செக்யூரிட்டியின் இன்ஃபோசெக் ஆராய்ச்சியாளர்களின் கூற்றுப்படி, குழுவின் செயல்பாடுகளைக் கண்காணித்து வரும், கரகுர்ட் முறையான VPN நற்சான்றிதழ்களை ஆரம்ப அணுகல் திசையனாகப் பயன்படுத்துகிறது. இருப்பினும், ஹேக்கர்கள் இந்த நற்சான்றிதழ்களை எவ்வாறு பெறுகிறார்கள் என்பது இதுவரை கண்டறியப்படவில்லை.

நெட்வொர்க்கிற்குள் நுழைந்ததும், சைபர் கிரைமினல்கள் விடாமுயற்சியை அடைகிறார்கள், பக்கவாட்டாக நகர்த்த முயற்சி செய்கிறார்கள், மேலும் இலக்கு சூழலில் ஏற்கனவே இருக்கும் கருவிகள் அல்லது அம்சங்களைப் பயன்படுத்திக் கொள்கிறார்கள், இந்த அணுகுமுறை 'நிலத்தை விட்டு வாழ்வது' என்று அழைக்கப்படுகிறது. பிடிவாதத்திற்காக, காரகுர்ட் பல்வேறு முறைகளைப் பயன்படுத்தி அனுசரிக்கப்பட்டது. ஆரம்பத்தில், சேவை உருவாக்கம், ரிமோட்-மேனேஜ்மென்ட் கருவிகளைப் பயன்படுத்துதல் மற்றும் கோபால்ட் ஸ்ட்ரைக் பீக்கான்கள் போன்ற பாதிக்கப்பட்டவரின் அமைப்புகளில் பின்கதவு அச்சுறுத்தல்களைப் பரப்புதல் ஆகியவை அடங்கும். எனினும், சமீபத்திய கரகுர்ட் செயல்பாடுகள் கோபால்ட் ஸ்ட்ரைக் கைவிட்டு, அதற்குப் பதிலாக VPN IP பூல் மற்றும் AnyDesk, தொலைநிலை டெஸ்க்டாப் பயன்பாடு வழியாக நெட்வொர்க் மூலம் நிலைத்தன்மையை நிறுவியுள்ளன. ஹேக்கர்கள் வைத்திருக்கும் நற்சான்றிதழ்கள் மூலம் உயர்ந்த சலுகைகளைப் பெறத் தவறினால், அவர்கள் Mimikatz அல்லது PowerShell ஐப் பயன்படுத்துவதன் மூலம் அதைச் செய்ய முயற்சிப்பார்கள்.

தரவு திருட்டு

தாக்குதலின் இறுதி கட்டம் பாதிக்கப்பட்டவரின் தரவை வெளியேற்றுவதாகும். தேர்ந்தெடுக்கப்பட்ட கோப்புகள் முதலில் 7zip அல்லது WinZip மூலம் சுருக்கப்படும். பின்னர், தகவல் Mega.io கிளவுட் ஸ்டோரேஜுக்கு வெளியேற்றப்படுவதற்கு முன், FileZilla இன் Rclone (SFTP) பயன்படுத்தப்படுகிறது. ஆராய்ச்சியாளர்களின் கூற்றுப்படி, தரவு வெளியேற்றத்தின் நிலை கட்டத்தில் பயன்படுத்தப்பட்ட இரண்டு கோப்பகங்கள் C:\Perflogs மற்றும் C:\Recovery ஆகும்.

குழுவானது ஜூன் 2021 இல், அவர்களின் முதல் அச்சுறுத்தும் செயல்பாடுகளுக்கு மாதங்களுக்கு முன்பே இரண்டு தரவு கசிவு தளங்களை அமைத்துள்ளது. இன்ஃபோசெக் ஆராய்ச்சியாளர்களால் அடையாளம் காணப்பட்ட இரண்டு தளங்கள் karakurt.group மற்றும் karakurt.tech. ஹேக்கர் குழுவிற்கு ஆகஸ்ட் மாதம் உருவாக்கப்பட்ட ட்விட்டர் கணக்கும் உள்ளது.