Ερευνητές αποκάλυψαν τις τακτικές και τις διαδικασίες της νέας ομάδας hacking «Karakurt». Παρακολούθησαν τις πρόσφατες κυβερνοεπίθεσεις που πραγματοποίησε η ομάδα και δημοσιεύσαν τα αποτελέσματα της έρευνας.
Η ομάδα hacking αυτοαποκαλείται «Karakurt» και είναι ένας απειλητικός παράγοντας με οικονομικά κίνητρα που έχει εντείνει τις επιθέσεις στον κυβερνοχώρο το τρίτο τρίμηνο του 2021.
Τα πρώτα σημάδια δραστηριότητας της ομάδας Karakurt εντοπίστηκαν τον Ιούνιο του 2021, με την καταχώρηση δύο domains και τη δημιουργία ενός Twitter handle.
Οι χάκερ επικεντρώνονται σχεδόν αποκλειστικά στην εξαγωγή δεδομένων και τον εκβιασμό και δεν χρησιμοποιούν ransomware για να κλειδώσουν τα αρχεία των θυμάτων τους.
Η αναφορά για την Karakurt προέρχεται από ερευνητές της Accenture Security, οι οποίοι κατάφεραν να παρακολουθήσουν τις τακτικές, το σύνολο εργαλείων και τις τεχνικές εισβολής της ομάδας «ζώντας από τη γη».
Η ομάδα ισχυρίζεται ότι έχει παραβιάσει περισσότερα από 40 θύματα μεταξύ Σεπτεμβρίου και Νοεμβρίου του 2021 και έχει δημοσιεύσει πακέτα κλεμμένων αρχείων με δυνατότητα λήψης στους ιστότοπούς της.
Περίπου το 95% αυτών των θυμάτων εδρεύουν στη Βόρεια Αμερική, ενώ τα υπόλοιπα είναι ευρωπαϊκές οντότητες. Η ομάδα Karakurt δεν εστιάζει σε μια συγκεκριμένη βιομηχανία, επομένως τα θύματα φαίνονται τυχαία.
Είσοδος, κλιμάκωση και exfiltration
Οι χάκερ χρησιμοποιούν VPN credentials για να αποκτήσουν αρχική πρόσβαση στο δίκτυο ενός θύματος, τα οποία είτε έχουν αγοράσει από πωλητές είτε τα έχουν αποκτήσει μέσω phishing.
Το persistence επιβεβαιώνεται με το dropping του ευρέως χρησιμοποιούμενου εργαλείου απομακρυσμένης πρόσβασης Cobalt Strike, αν και, σε πρόσφατες επιθέσεις, η Karakurt χρησιμοποίησε το AnyDesk.
Το AnyDesk γίνεται όλο και πιο δημοφιλές μεταξύ των απειλητικών φορέων, όπως για παράδειγμα η συμμορία ransomware Conti.
Στη συνέχεια, ο χάκερ κλέβει πρόσθετα credentials που ανήκουν σε διαχειριστές χρησιμοποιώντας το Mimikatz και τα χρησιμοποιεί για μη ανιχνεύσιμη κλιμάκωση των προνομίων.
Για την εξαγωγή των δεδομένων, η Karakurt χρησιμοποιεί 7zip και WinZip για να συμπιέσει τα αρχεία και στη συνέχεια στέλνει τα πάντα στο Mega.io μέσω Rclone ή FileZilla.
Ενώ αυτές οι επιθέσεις φαίνονται λιγότερο επιζήμιες σε σύγκριση με τις μολύνσεις ransomware που κρυπτογραφούν δεδομένα και κάνουν wipe backups, μπορεί να είναι αρκετά επιζήμιες.
Η απειλή για δημοσίευση κλεμμένων αρχείων μπορεί να γονατίσει μια εταιρεία.
Για το λόγο αυτό, νέες ομάδες hacking, όπως η SnapMC, εστιάζουν αποκλειστικά στην εξαγωγή δεδομένων και τον εκβιασμό ως μοντέλο απειλής.
Ωστόσο, η πληρωμή λύτρων δεν εγγυάται ότι οι απειλητικοί φορείς θα διαγράψουν τα κλεμμένα δεδομένα ή ότι δεν θα τα πουλήσουν σε άλλους, επομένως δεν είναι ποτέ συνετό να πληρώσετε λύτρα για να αποτρέψετε μια παραβίαση δεδομένων.
Αντίθετα, οι οργανισμοί θα πρέπει να επικεντρωθούν σε μέτρα άμυνας, πρόληψης και ανίχνευσης για να κρατήσουν αυτές τις απειλές εκτός των δικτύων τους.