Karakurt HackingGroupはヨーロッパと北アメリカをターゲットにしています
金銭的な動機を持つ脅威アクターは、過去1年間にランサムウェアに大きく依存してきました。彼らは企業や企業のネットワークに侵入し、暗号化する前に重要なデータを盗もうとします。最後に、彼らは被害者に、解読ツールと引き換えに数十万ドルを支払い、犯罪者がそれらをオンラインで公開するのを阻止するオプションを提供します。ただし、この方程式のランサムウェアコンポーネントを排除した新しい脅威アクターが存在するようです。カラクルトとして知られる犯罪者は、北米の企業を標的にしているようです。
カラクルトは東ヨーロッパで見つかった毒蜘蛛の名前であり、Twitterアカウントに使用されている画像から判断すると、グループの名前に触発された可能性があります。残念ながら、これは犯罪者の身元や場所についてはあまり明らかにしていません。カラクルト攻撃の確認された症例はすでに40例あり、そのうちの95%は北米で確認され、その他はヨーロッパで確認されました。
カラクルトハッカーはランサムウェアを使用せずにファイルを盗む
先に述べたように、犯罪者は犠牲者を金銭で恐喝しようとしています。ただし、これを達成するためにランサムウェアの脅威を展開することはありません。代わりに、公開ツールとプライベートマルウェアの組み合わせを使用して、侵害されたネットワークから機密情報を盗み出します。システムへの侵入に成功すると、ネットワーク全体に横方向に拡散しようとし、より多くのデータにアクセスできるようになります。
Karakurtハッカーが依存している人気のあるインプラントの1つは、CobaltStrikeです。ただし、前述のように、感染したシステムへのリモートアクセスを取得するために、AnyDeskなどの正規のツールを展開することも躊躇しません。
ほとんどの侵入は、ログイン資格情報を使用して行われるように見えます。犯罪者は、スピアフィッシング攻撃に依存しているか、他の方法を使用して会社の従業員から資格情報を盗んでいます。言うまでもなく、Karakurt攻撃からネットワークを保護するには、安全なネットワークポリシーと、定期的に更新される安全なアカウント資格情報を使用する必要があります。