Karakurt

Karakurt es un grupo de ciberdelincuencia recién establecido que en solo un par de meses ha logrado golpear a más de 40 víctimas. A diferencia de la mayoría de los grupos de APT con motivaciones económicas, Karakurt no cifra los datos de sus víctimas mediante una amenaza de ransomware. En cambio, sus operaciones se centran en exfiltrar datos confidenciales de los sistemas violados y luego extorsionar a las víctimas amenazando con divulgar la información obtenida al público.

Otra característica distintiva de Karakurt es que los piratas informáticos se han desviado del enfoque típico de apuntar a grandes corporaciones o servicios de infraestructura crítica. En cambio, los piratas informáticos muestran un enfoque más rápido en el que comprometen a empresas más pequeñas o subsidiarias corporativas. Esto le permite a Karakurt pasar a la siguiente víctima.con rapidez. Hasta ahora, la mayoría de las organizaciones comprometidas han sido de América del Norte, con Europa en un distante segundo lugar.

Tácticas adaptativas de amenaza

Los hackers de Karakurt también han demostrado la capacidad de adoptar nuevas técnicas.rápidamente y cambie las amenazas de malware utilizadas. Según los investigadores de seguridad de información de Accenture Security que han estado monitoreando las actividades del grupo, Karakurt emplea credenciales de VPN legítimas como vector de acceso inicial. Sin embargo, hasta ahora no se ha determinado cómo obtienen los piratas informáticos estas credenciales.

Una vez dentro de la red, los ciberdelincuentes logran la persistencia, intentan moverse lateralmente y explotan las herramientas o características que ya existen en el entorno objetivo, un enfoque conocido como "vivir de la tierra". Para la persistencia, Karakurt se ha observado utilizando múltiples métodos diferentes. Inicialmente, estos incluían la creación de servicios, la implementación de herramientas de administración remota y la propagación de amenazas de puerta trasera a través de los sistemas de la víctima, como las balizas Cobalt Strike. Sin embargo,Las operaciones más recientes de Karakurt han eliminado Cobalt Strike y, en cambio, establecen la persistencia a través de la red a través del grupo de IP de VPN y AnyDesk, una aplicación de escritorio remoto. Si los piratas informáticos no logran adquirir privilegios elevados a través de las credenciales que poseen, intentarán hacerlo implementando Mimikatz o usando PowerShell.

Robo de datos

El último paso del ataque es la exfiltración de los datos de la víctima. Los archivos elegidos se comprimen primero a través de 7zip o WinZip. Posteriormente, se utiliza Rclone of FileZilla (SFTP) para declarar antes de que la información se exfiltra finalmente al almacenamiento en la nube de Mega.io. Según los investigadores, dos directorios que se utilizaron en la etapa de preparación de la exfiltración de datos son C: \ Perflogs y C: \ Recovery.

El grupo ha establecido dos sitios de filtración de datos en junio de 2021, meses antes de sus primeras operaciones amenazantes. Los dos sitios identificados por los investigadores de infosec son karakurt.group y karakurt.tech. El grupo de hackers también tiene una cuenta de Twitter que se creó en agosto.