Karakurt Hacking Group atakuje Europę i Amerykę Północną
W ubiegłym roku cyberprzestępcy zmotywowani finansowo w dużym stopniu polegali na oprogramowaniu ransomware. Próbują infiltrować sieci firmowe i korporacyjne, a następnie kraść ważne dane przed ich zaszyfrowaniem. Wreszcie oferują ofierze opcję – zapłacenie setek tysięcy dolarów w zamian za narzędzie deszyfrujące i powstrzymanie przestępców przed opublikowaniem ich w Internecie. Wydaje się jednak, że pojawił się nowy aktor, który wyeliminował z tego równania komponent ransomware. Przestępcy, znani jako Karakurt, wydają się być atakowanymi firmami w Ameryce Północnej.
Karakurt to nazwa jadowitego pająka znalezionego w Europie Wschodniej i prawdopodobnie została zainspirowana nazwą grupy, sądząc po zdjęciach użytych do ich konta na Twitterze. Niestety nie mówi to wiele o tożsamości lub lokalizacji przestępców. Odnotowano już 40 potwierdzonych przypadków ataków Karakurt, a 95% z nich zidentyfikowano w Ameryce Północnej – pozostałe w Europie.
Hakerzy z Karakurt kradną pliki bez użycia ransomware
Jak wspomniano wcześniej, przestępcy chcą wyłudzić od swoich ofiar pieniądze. Jednak nie wdrażają zagrożenia ransomware, aby to osiągnąć. Zamiast tego wykorzystują kombinację publicznych narzędzi i prywatnego złośliwego oprogramowania, aby eksfiltrować poufne informacje z zaatakowanych sieci. Gdy uda im się pomyślnie zinfiltrować system, próbują również rozprzestrzenić się na boki w całej sieci, umożliwiając im dostęp do większej ilości danych.
Jednym z popularnych implantów, na których polegają hakerzy Karakurt, jest Cobalt Strike. Jednak, jak wspomniano powyżej, nie wahają się również wdrożyć legalnych narzędzi, takich jak AnyDesk, w celu uzyskania zdalnego dostępu do zainfekowanych systemów.
Wygląda na to, że większość infekcji odbywa się przy użyciu danych logowania. Przestępcy albo polegają na atakach typu spear-phishing, albo używają innych metod do kradzieży danych uwierzytelniających pracowników firmy. Nie trzeba dodawać, że ochrona sieci przed atakiem Karakurt wymaga stosowania bezpiecznych zasad sieciowych i bezpiecznych, regularnie aktualizowanych danych uwierzytelniających konta.