Karakurt Hacking Group si rivolge a Europa e Nord America
Gli attori delle minacce motivati finanziariamente hanno fatto molto affidamento sul ransomware nell'ultimo anno. Tentano di infiltrarsi nelle reti aziendali e aziendali e quindi rubano dati importanti prima di crittografarli. Infine, offrono alla vittima un'opzione: pagare centinaia di migliaia di dollari in cambio di uno strumento di decrittazione e impedire ai criminali di pubblicarli online. Tuttavia, sembra che ci sia un nuovo attore di minacce, che ha eliminato la componente ransomware di questa equazione. I criminali, noti come Karakurt, sembrano essere aziende prese di mira in Nord America.
Karakurt è il nome di un ragno velenoso trovato nell'Europa orientale, ed è probabile che si sia ispirato al nome del gruppo, a giudicare dalle immagini utilizzate per il loro account Twitter. Sfortunatamente, questo non rivela molto sull'identità o sulla posizione dei criminali. Ci sono già stati 40 casi confermati di attacchi a Karakurt e il 95% di questi è stato identificato in Nord America, gli altri erano in Europa.
Gli hacker di Karakurt rubano i file senza usare ransomware
Come accennato in precedenza, i criminali stanno cercando di estorcere denaro alle loro vittime. Tuttavia, non distribuiscono una minaccia ransomware per raggiungere questo obiettivo. Al contrario, utilizzano una combinazione di strumenti pubblici e malware privato per estrarre informazioni sensibili dalle reti compromesse. Una volta che riescono a infiltrarsi con successo in un sistema, tentano anche di diffondersi lateralmente attraverso l'intera rete, consentendo loro di accedere a più dati.
Uno degli impianti popolari su cui fanno affidamento gli hacker di Karakurt è Cobalt Strike. Tuttavia, come accennato in precedenza, non esitano a distribuire strumenti legittimi come AnyDesk per ottenere l'accesso remoto ai sistemi infetti.
Sembrerebbe che la maggior parte delle infiltrazioni avvenga utilizzando le credenziali di accesso. I criminali si affidano ad attacchi di spear-phishing o utilizzano altri metodi per rubare le credenziali dei dipendenti dell'azienda. Inutile dire che la protezione delle reti dall'attacco Karakurt richiede l'uso di criteri di rete sicuri e credenziali dell'account sicure e regolarmente aggiornate.