కరాకుర్ట్
కరాకుర్ట్ అనేది కొత్తగా స్థాపించబడిన సైబర్ క్రైమ్ గ్రూప్, ఇది కేవలం రెండు నెలల్లోనే 40 మంది బాధితులను తాకింది. ఆర్థికంగా ప్రేరేపించబడిన మెజారిటీ APT సమూహాల వలె కాకుండా, Karakurt దాని బాధితుల డేటాను ransomware ముప్పు ద్వారా గుప్తీకరించదు. బదులుగా, దాని కార్యకలాపాలు ఉల్లంఘించిన సిస్టమ్ల నుండి సున్నితమైన డేటాను వెలికితీయడం మరియు పొందిన సమాచారాన్ని ప్రజలకు విడుదల చేస్తామని బెదిరించడం ద్వారా బాధితులను బలవంతం చేయడంపై దృష్టి సారించాయి.
కరాకుర్ట్ యొక్క మరొక ప్రత్యేక లక్షణం ఏమిటంటే, హ్యాకర్లు పెద్ద సంస్థలను లేదా క్లిష్టమైన మౌలిక సదుపాయాల సేవలను లక్ష్యంగా చేసుకునే విలక్షణమైన విధానం నుండి వైదొలిగారు. బదులుగా, హ్యాకర్లు చిన్న కంపెనీలు లేదా కార్పొరేట్ అనుబంధ సంస్థలతో రాజీపడే వేగవంతమైన విధానాన్ని ప్రదర్శిస్తున్నారు. ఇది కరాకుర్ట్ తదుపరి బాధితునికి వెళ్లడానికి అనుమతిస్తుంది త్వరగా. ఇప్పటివరకు, రాజీపడిన సంస్థలలో ఎక్కువ భాగం ఉత్తర అమెరికాకు చెందినవి, ఐరోపా రెండవ స్థానంలో ఉంది.
అనుకూల బెదిరింపు వ్యూహాలు
కరాకుర్ట్ హ్యాకర్లు కూడా కొత్త పద్ధతులను అవలంబించే సామర్థ్యాన్ని ప్రదర్శించారు వేగంగా మరియు ఉపయోగించిన మాల్వేర్ బెదిరింపులను మార్చండి. సమూహం యొక్క కార్యకలాపాలను పర్యవేక్షిస్తున్న యాక్సెంచర్ సెక్యూరిటీలోని ఇన్ఫోసెక్ పరిశోధకుల ప్రకారం, కరాకుర్ట్ చట్టబద్ధమైన VPN ఆధారాలను ప్రారంభ యాక్సెస్ వెక్టర్గా ఉపయోగిస్తుంది. అయితే, హ్యాకర్లు ఈ ఆధారాలను ఎలా పొందుతారనేది sp ఇప్పటివరకు నిర్ధారించబడలేదు.
నెట్వర్క్లోకి ప్రవేశించిన తర్వాత, సైబర్ నేరస్థులు పట్టుదలను సాధిస్తారు, పార్శ్వంగా కదలడానికి ప్రయత్నిస్తారు మరియు లక్ష్య వాతావరణంలో ఇప్పటికే ఉన్న సాధనాలు లేదా లక్షణాలను దోపిడీ చేస్తారు, ఈ విధానాన్ని 'భూమి నుండి జీవించడం' అని పిలుస్తారు. నిలకడ కోసం, కరాకుర్ట్ అనేక విభిన్న పద్ధతులను ఉపయోగించి గమనించబడింది. ప్రారంభంలో, సేవా సృష్టి, రిమోట్-నిర్వహణ సాధనాలను అమలు చేయడం మరియు కోబాల్ట్ స్ట్రైక్ బీకాన్ల వంటి బాధితుల సిస్టమ్లలో బ్యాక్డోర్ బెదిరింపులను వ్యాప్తి చేయడం వంటివి ఉన్నాయి. అయితే, ఇటీవలి కరాకుర్ట్ కార్యకలాపాలు కోబాల్ట్ స్ట్రైక్ను ఉపసంహరించుకున్నాయి మరియు బదులుగా VPN IP పూల్ మరియు రిమోట్ డెస్క్టాప్ అప్లికేషన్ అయిన AnyDesk ద్వారా నెట్వర్క్ ద్వారా పట్టుదలను ఏర్పరచాయి. హ్యాకర్లు కలిగి ఉన్న ఆధారాల ద్వారా ఉన్నత అధికారాలను పొందడంలో విఫలమైతే, వారు Mimikatz ని అమలు చేయడం లేదా PowerShellని ఉపయోగించడం ద్వారా అలా చేయడానికి ప్రయత్నిస్తారు.
డేటా దొంగతనం
దాడిలో చివరి దశ బాధితుడి డేటాను వెలికితీయడం. ఎంచుకున్న ఫైల్లు మొదట 7zip లేదా WinZip ద్వారా కంప్రెస్ చేయబడతాయి. ఆ తర్వాత, సమాచారం అంతిమంగా Mega.io క్లౌడ్ స్టోరేజ్కి ఎక్స్ఫిల్ట్ చేయబడే ముందు పేర్కొనడానికి Rclone of FileZilla (SFTP) ఉపయోగించబడుతుంది. పరిశోధకుల అభిప్రాయం ప్రకారం, డేటా ఎక్స్ఫిల్ట్రేషన్ యొక్క స్టేజింగ్ దశలో ఉపయోగించిన రెండు డైరెక్టరీలు C:\Perflogs మరియు C:\Recovery.
గ్రూప్ వారి మొదటి బెదిరింపు కార్యకలాపాలకు నెలల ముందు జూన్ 2021 నాటికి రెండు డేటా-లీక్ సైట్లను సెటప్ చేసింది. ఇన్ఫోసెక్ పరిశోధకులు గుర్తించిన రెండు సైట్లు karakurt.group మరియు karakurt.tech. హ్యాకర్ గ్రూప్కు ఆగస్టులో సృష్టించబడిన ట్విట్టర్ ఖాతా కూడా ఉంది.
