Karakurt Hacking Group cible l'Europe et l'Amérique du Nord
Les acteurs de la menace à motivation financière se sont fortement appuyés sur les ransomwares au cours de la dernière année. Ils tentent d'infiltrer les réseaux de l'entreprise et de l'entreprise, puis volent des données importantes avant de les chiffrer. Enfin, ils offrent à la victime une option : payer des centaines de milliers de dollars en échange d'un outil de décryptage et empêcher les criminels de les publier en ligne. Cependant, il semble qu'il y ait un nouvel acteur de menace, qui a éliminé la composante ransomware de cette équation. Les criminels, connus sous le nom de Karakurt, semblent être des entreprises ciblées en Amérique du Nord.
Karakurt est le nom d'une araignée venimeuse trouvée en Europe de l'Est, et elle s'est probablement inspirée du nom du groupe à en juger par les images utilisées pour leur compte Twitter. Malheureusement, cela ne révèle pas grand-chose sur l'identité ou l'emplacement des criminels. Il y a déjà eu 40 cas confirmés d'attaques Karakurt, et 95% d'entre eux ont été identifiés en Amérique du Nord – les autres étaient en Europe.
Karakurt Hackers vole des fichiers sans utiliser de ransomware
Comme mentionné précédemment, les criminels cherchent à extorquer de l'argent à leurs victimes. Cependant, ils ne déploient pas de menace de ransomware pour y parvenir. Au lieu de cela, ils utilisent une combinaison d'outils publics et de logiciels malveillants privés pour exfiltrer les informations sensibles des réseaux compromis. Une fois qu'ils parviennent à infiltrer un système avec succès, ils tentent également de se propager latéralement sur l'ensemble du réseau, leur permettant d'accéder à plus de données.
L'un des implants populaires sur lesquels s'appuient les pirates de Karakurt est Cobalt Strike. Cependant, comme mentionné ci-dessus, ils n'hésitent pas non plus à déployer des outils légitimes tels que AnyDesk afin d'accéder à distance aux systèmes infectés.
Il semblerait que la plupart des infiltrations se produisent en utilisant les identifiants de connexion. Les criminels s'appuient sur des attaques de spear-phishing ou utilisent d'autres méthodes pour voler les informations d'identification des employés de l'entreprise. Inutile de dire que la protection des réseaux contre l'attaque Karakurt nécessite l'utilisation de politiques de réseau sécurisées et d'informations d'identification de compte sûres et régulièrement mises à jour.