El nuevo actor de Karakurt Threat se centra en la extorsión, no en el ransomware
Los investigadores de la empresa de seguridad Accenture publicaron un informe sobre un nuevo gran nombre en el panorama de los actores de amenazas. La nueva entidad se llama Karakurt y según los investigadores ha logrado puntuar a más de 40 víctimas en tan solo unos meses en 2021.
Karakurt es un acrónimo de las palabras turcas para "negro" y "lobo" y también se encuentra como un apellido turco. También es otro nombre para la araña viuda negra europea. Cabe señalar que este no es un nombre dado al equipo por los investigadores de seguridad, sino uno que el grupo eligió para sí mismo.
Actor de amenazas va por extorsión por ransomware
Karakurt apareció como una señal roja en los radares de los investigadores a mediados de 2021, pero ha aumentado significativamente su actividad en los últimos meses. Accenture describe al actor de amenazas como "motivado financieramente, oportunista" y aparentemente apuntando a entidades más pequeñas, manteniéndose alejado del "gran juego". No es demasiado difícil imaginar por qué es así, después de lo que sucedió con el grupo Darkside después de que uno de sus afiliados lanzó un ataque paralizante contra Colonial Pipeline en los EE. UU. Y provocó una reacción increíble en Darkside, lo que provocó el aparente cierre del actor de amenazas.
Al igual que la mayoría de los actores de ransomware, Karakurt se ha dirigido principalmente a empresas y entidades ubicadas en suelo estadounidense, con solo el 5% del total de ataques persiguiendo objetivos en Europa. Sin embargo, las similitudes con la mayoría de ransomware en el modo de funcionamiento terminan aquí. Karakurt no es una banda de ransomware.
En cambio, el nuevo actor de amenazas se centró en un enfoque más rápido: entrar y salir rápidamente, exfiltrar tantos datos confidenciales como fuera posible y luego extorsionar con dinero por la información robada.
Accenture también cree que este enfoque se volverá cada vez más popular entre los actores de amenazas en el futuro y espera un ligero cambio desde el ransomware hacia un enfoque puro de "exfiltrar y extorsionar", combinado con un cambio hacia objetivos que no causarán trastornos sociales o de infraestructura cuando pegar.
Métodos y herramientas de Karakurt
Karakurt utiliza herramientas y aplicaciones ya instaladas en las redes de las víctimas para la infiltración. El método común de infiltración en los ataques del grupo hasta ahora ha sido el uso de credenciales de inicio de sesión de VPN legítimas. Sin embargo, no está claro cómo se obtuvieron.
A partir de este momento, Accenture pinta una imagen de las acciones de Karakurt que ya es demasiado familiar: las balizas Cobalt Strike para la comunicación de comando y control. El movimiento lateral a través de las redes se logra utilizando cualquier herramienta disponible, desde PowerShell hasta aplicaciones maliciosas de terceros. El equipo de piratas informáticos utiliza herramientas de compresión populares para empaquetar los datos robados antes de enviarlos a mega dot io para su almacenamiento.