Yeni Karakurt Tehdit Aktörü Fidye Yazılımına Değil, Gaspa Odaklanıyor

Güvenlik firması Accenture ile araştırmacılar, tehdit aktörü ortamında yeni bir büyük isim hakkında bir rapor yayınladı. Yeni varlığın adı Karakurt ve araştırmacılara göre 2021'de sadece birkaç ayda 40'tan fazla kurban almayı başardı.

Karakurt, Türkçede "kara" ve "kurt" kelimelerinin birleşimidir ve Türkçe bir soyadı olarak da karşımıza çıkar. Aynı zamanda Avrupa kara dul örümceğinin başka bir adıdır. Bunun güvenlik araştırmacıları tarafından kıyafete verilen bir isim değil, grubun kendisi için seçtiği bir isim olduğunu belirtmek gerekir.

Tehdit aktörü fidye yazılımı üzerinden şantaj yapacak

Karakurt, 2021'in ortasında araştırmacı radarlarında kırmızı bir işaret olarak ortaya çıktı, ancak son birkaç aydır faaliyette önemli ölçüde arttı. Accenture, tehdit aktörünü "finansal olarak motive edilmiş, fırsatçı" ve görünüşte daha küçük varlıkları hedef alan, "büyük oyundan" uzak duran olarak tanımlıyor. Bağlı kuruluşlarından birinin ABD'deki Colonial Pipeline'a ağır bir saldırı başlatmasından ve Darkside'a inanılmaz bir tepki vermesinin ardından tehdit aktörünün bariz bir şekilde kapanmasına yol açan Darkside grubuna olanlardan sonra bunun nedenini hayal etmek çok zor değil.

Çoğu fidye yazılımı aktörüne benzer şekilde, Karakurt öncelikle ABD topraklarında bulunan şirketleri ve kuruluşları hedef alıyor ve toplam saldırıların sadece %5'i Avrupa'daki hedeflerin peşinden gidiyor. Ancak, çalışma modundaki çoğu fidye yazılımıyla benzerlikler burada sona eriyor. Karakurt bir fidye yazılımı çetesi değildir.

Bunun yerine, yeni tehdit aktörü daha hızlı bir yaklaşıma odaklandı - hızlı bir şekilde girip çıktı, mümkün olduğunca çok hassas veriyi sızdırdı ve ardından çalınan bilgiler için zorla para aldı.

Accenture ayrıca, bu yaklaşımın gelecekte tehdit aktörleri arasında giderek daha popüler hale geleceğine inanıyor ve fidye yazılımlarından saf bir "sızma ve şantaj" yaklaşımına hafif bir geçişin yanı sıra, toplumsal veya altyapısal bozulmaya neden olmayacak hedeflere doğru bir geçiş bekliyor. vurmak.

Karakurt'un yöntemleri ve araçları

Karakurt, sızma için kurban ağlarında halihazırda kurulu olan araçları ve uygulamaları kullanır. Şu ana kadar grubun saldırılarında sızmanın yaygın yöntemi, meşru VPN oturum açma kimlik bilgilerini kullanmaktı. Ancak bunların nasıl elde edildiği açık değildir.

Bu noktadan itibaren Accenture, Karakurt'un artık çok tanıdık olan eylemlerinin bir resmini çiziyor - komuta ve kontrol iletişimi için Kobalt Vuruşu işaretleri. Ağlar arasında yanal hareket, PowerShell'den üçüncü taraf kötü amaçlı uygulamalara kadar mevcut tüm araçlar kullanılarak sağlanır. Hacker takımı, çalınan verileri depolamak üzere mega dot io'ya göndermeden önce paketlemek için popüler sıkıştırma araçlarını kullanıyor.