Karakurt
Ang Karakurt ay isang bagong tatag na cybercrime group na sa loob lamang ng ilang buwan ay nagawang tamaan ang mahigit 40 biktima. Hindi tulad ng karamihan ng mga pangkat ng APT na may motibasyon sa pananalapi, hindi ini-encrypt ng Karakurt ang data ng mga biktima nito sa pamamagitan ng banta ng ransomware. Sa halip, ang mga operasyon nito ay nakatuon sa pag-exfiltrate ng sensitibong data mula sa mga nilabag na sistema at pagkatapos ay pangingikil sa mga biktima sa pamamagitan ng pagbabanta na ilalabas ang nakuhang impormasyon sa publiko.
Ang isa pang natatanging katangian ng Karakurt ay ang mga hacker ay lumihis mula sa karaniwang paraan ng pag-target sa malalaking korporasyon o kritikal na serbisyo sa imprastraktura. Sa halip, ang mga hacker ay nagpapakita ng mas mabilis na diskarte kung saan kinokompromiso nila ang mas maliliit na kumpanya o mga subsidiary ng korporasyon. Pinapayagan nito si Karakurt na lumipat sa susunod na biktima mabilis. Sa ngayon, ang karamihan sa mga nakompromisong organisasyon ay mula sa Hilagang Amerika, na ang Europa ay isang malayong pangalawa.
Adaptive Threatening Tactics
Ang mga hacker ng Karakurt ay nagpakita rin ng kakayahang gumamit ng mga bagong pamamaraan mabilis at ilipat ang ginamit na banta ng malware. Ayon sa mga mananaliksik ng infosec sa Accenture Security na sinusubaybayan ang mga aktibidad ng grupo, ang Karakurt ay gumagamit ng mga lehitimong kredensyal ng VPN bilang isang paunang access vector. Gayunpaman, hindi pa natutukoy kung paano nakuha ng mga hacker ang mga kredensyal na ito.
Kapag nasa loob na ng network, nakakamit ng mga cybercriminal ang pagtitiyaga, subukang lumipat sa gilid, at pagsasamantalahan ang mga tool o feature na mayroon na sa target na kapaligiran, isang diskarte na kilala bilang 'living off the land.' Para sa pagtitiyaga, ang Karakurt ay naobserbahan gamit ang maraming iba't ibang mga pamamaraan. Sa una, kasama sa mga iyon ang paggawa ng serbisyo, pag-deploy ng mga tool sa remote-management at pagpapakalat ng mga banta sa likod ng pinto sa mga system ng biktima, gaya ng mga Cobalt Strike beacon. gayunpaman, mas kamakailang mga operasyon ng Karakurt ay bumaba sa Cobalt Strike at sa halip ay nagtatag ng pagpupursige sa pamamagitan ng network sa pamamagitan ng VPN IP pool at AnyDesk, isang remote desktop application. Kung nabigo ang mga hacker na makakuha ng mataas na mga pribilehiyo sa pamamagitan ng mga may hawak na kredensyal, susubukan nilang gawin ito sa pamamagitan ng pag-deploy ng Mimikatz o paggamit ng PowerShell.
Pagnanakaw ng Data
Ang huling hakbang sa pag-atake ay ang pag-exfiltrate ng data ng biktima. Ang mga napiling file ay unang na-compress sa pamamagitan ng alinman sa 7zip o WinZip. Pagkatapos, ang Rclone ng FileZilla (SFTP) ay ginagamit para sa pagsasabi bago tuluyang mai-exfiltrate ang impormasyon sa Mega.io cloud storage. Ayon sa mga mananaliksik, dalawang direktoryo na ginamit sa yugto ng pagtatanghal ng data exfiltration ay C:\Perflogs at C:\Recovery.
Ang grupo ay nag-set up ng dalawang data-leak site noong Hunyo 2021, mga buwan bago ang kanilang unang pagbabanta sa mga operasyon. Ang dalawang site na kinilala ng mga mananaliksik ng infosec ay karakurt.group at karakurt.tech. Ang grupo ng hacker ay mayroon ding Twitter account na ginawa noong Agosto.
