Karakurt Hacking Group tem como alvo a Europa e a América do Norte
Atores de ameaças com motivação financeira têm dependido muito de ransomware no ano passado. Eles tentam se infiltrar na empresa e nas redes corporativas e, em seguida, roubam dados importantes antes de criptografá-los. Finalmente, eles oferecem à vítima uma opção - pagar centenas de milhares de dólares em troca de uma ferramenta de descriptografia e impedir os criminosos de publicá-los online. No entanto, parece que há um novo ator de ameaça, que eliminou o componente ransomware dessa equação. Os criminosos, conhecidos como Karakurt, parecem ser empresas-alvo na América do Norte.
Karakurt é o nome de uma aranha venenosa encontrada na Europa Oriental, e é provável que tenha se inspirado no nome do grupo a julgar pelas imagens usadas em sua conta no Twitter. Infelizmente, isso não revela muito sobre a identidade ou localização dos criminosos. Já houve 40 casos confirmados de ataques de Karakurt, e 95% deles foram identificados na América do Norte - os outros foram na Europa.
Hackers de Karakurt roubam arquivos sem usar ransomware
Conforme mencionado anteriormente, os criminosos estão tentando extorquir suas vítimas por dinheiro. No entanto, eles não implantam uma ameaça de ransomware para fazer isso. Em vez disso, eles usam uma combinação de ferramentas públicas e malware privado para exfiltrar informações confidenciais de redes comprometidas. Uma vez que conseguem se infiltrar em um sistema com sucesso, eles também tentam se espalhar lateralmente por toda a rede, permitindo que acessem mais dados.
Um dos implantes populares com que os hackers Karakurt contam é o Cobalt Strike. No entanto, como mencionado acima, eles também não hesitam em implantar ferramentas legítimas, como o AnyDesk, para obter acesso remoto aos sistemas infectados.
Parece que a maioria das infiltrações acontece com o uso de credenciais de login. Os criminosos dependem de ataques de spear-phishing ou usam outros métodos para roubar credenciais de funcionários da empresa. Desnecessário dizer que proteger as redes do ataque Karakurt requer o uso de políticas de rede seguras e credenciais de conta seguras e atualizadas regularmente.