Το Karakurt Hacking Group στοχεύει στην Ευρώπη και τη Βόρεια Αμερική
Οι παράγοντες απειλών με οικονομικά κίνητρα βασίζονται σε μεγάλο βαθμό σε ransomware τον περασμένο χρόνο. Προσπαθούν να διεισδύσουν σε εταιρικά και εταιρικά δίκτυα και στη συνέχεια να κλέψουν σημαντικά δεδομένα πριν τα κρυπτογραφήσουν. Τέλος, προσφέρουν στο θύμα μια επιλογή – να πληρώσει εκατοντάδες χιλιάδες δολάρια σε αντάλλαγμα για ένα εργαλείο αποκρυπτογράφησης και να εμποδίσει τους εγκληματίες να τα δημοσιεύσουν στο διαδίκτυο. Ωστόσο, φαίνεται ότι υπάρχει ένας νέος παράγοντας απειλής, ο οποίος έχει εξαλείψει το στοιχείο ransomware αυτής της εξίσωσης. Οι εγκληματίες, γνωστοί ως Karakurt, φαίνεται να είναι στοχευμένες εταιρείες στη Βόρεια Αμερική.
Karakurt είναι το όνομα μιας δηλητηριώδους αράχνης που βρέθηκε στην Ανατολική Ευρώπη και είναι πιθανό να έχει εμπνευστεί από το όνομα της ομάδας, αν κρίνουμε από τις εικόνες που χρησιμοποιούνται για τον λογαριασμό τους στο Twitter. Δυστυχώς, αυτό δεν αποκαλύπτει πολλά για την ταυτότητα ή την τοποθεσία των εγκληματιών. Έχουν ήδη επιβεβαιωθεί 40 περιπτώσεις επιθέσεων στο Karakurt και το 95% από αυτά εντοπίστηκαν στη Βόρεια Αμερική – τα άλλα στην Ευρώπη.
Οι χάκερ του Karakurt κλέβουν αρχεία χωρίς να χρησιμοποιούν Ransomware
Όπως αναφέρθηκε προηγουμένως, οι εγκληματίες προσπαθούν να εκβιάσουν τα θύματά τους για χρήματα. Ωστόσο, δεν αναπτύσσουν απειλή ransomware για να το πετύχουν αυτό. Αντίθετα, χρησιμοποιούν έναν συνδυασμό δημόσιων εργαλείων και ιδιωτικού κακόβουλου λογισμικού για να διευρύνουν ευαίσθητες πληροφορίες από παραβιασμένα δίκτυα. Μόλις καταφέρουν να διεισδύσουν σε ένα σύστημα με επιτυχία, προσπαθούν επίσης να εξαπλωθούν πλευρικά σε ολόκληρο το δίκτυο, επιτρέποντάς τους να έχουν πρόσβαση σε περισσότερα δεδομένα.
Ένα από τα δημοφιλή εμφυτεύματα στα οποία βασίζονται οι χάκερ του Karakurt είναι το Cobalt Strike. Ωστόσο, όπως προαναφέρθηκε, δεν διστάζουν να αναπτύξουν νόμιμα εργαλεία όπως το AnyDesk για να αποκτήσουν απομακρυσμένη πρόσβαση σε μολυσμένα συστήματα.
Φαίνεται ότι οι περισσότερες διεισδύσεις γίνονται χρησιμοποιώντας διαπιστευτήρια σύνδεσης. Οι εγκληματίες είτε βασίζονται σε επιθέσεις spear-phishing είτε χρησιμοποιούν άλλες μεθόδους για να κλέψουν διαπιστευτήρια από υπαλλήλους της εταιρείας. Περιττό να πούμε ότι η προστασία των δικτύων από την επίθεση Karakurt απαιτεί τη χρήση ασφαλών πολιτικών δικτύου και ασφαλών, τακτικά ενημερωμένων διαπιστευτηρίων λογαριασμού.