Karakurt

Karakurt ist eine neu gegründete Cybercrime-Gruppe, die es in nur wenigen Monaten geschafft hat, über 40 Opfer zu treffen. Im Gegensatz zu den meisten finanziell motivierten APT-Gruppen verschlüsselt Karakurt die Daten seiner Opfer nicht durch eine Ransomware-Bedrohung. Stattdessen konzentrieren sich seine Operationen darauf, sensible Daten aus den gehackten Systemen zu extrahieren und die Opfer dann zu erpressen, indem sie androhen, die erhaltenen Informationen an die Öffentlichkeit weiterzugeben.

Ein weiteres charakteristisches Merkmal von Karakurt ist, dass die Hacker von dem typischen Ansatz abgewichen sind, große Unternehmen oder kritische Infrastrukturdienste ins Visier zu nehmen. Stattdessen zeigen die Hacker einen schnelleren Ansatz, wenn sie kleinere Unternehmen oder Konzerntöchter kompromittieren. Dadurch kann Karakurt zum nächsten Opfer schnell übergehen. Bisher kam die Mehrheit der kompromittierten Organisationen aus Nordamerika, mit weitem Abstand folgt Europa.

Adaptive Bedrohungstaktiken

Die Hacker von Karakurt haben auch die Fähigkeit bewiesen, neue Techniken schnell zu übernehmen und sie wechseln die verwendeten Malware-Bedrohungen. Laut den infosec-Forschern von Accenture Security, die die Aktivitäten der Gruppe überwacht haben, verwendet Karakurt legitime VPN-Zugangsdaten als ersten Zugangsvektor. Wie die Hacker an diese Zugangsdaten gelangen, ist jedoch bisher nicht geklärt.

Sobald sie sich im Netzwerk befinden, erreichen die Cyberkriminellen Persistenz, versuchen sich seitlich zu bewegen und nutzen Tools oder Funktionen, die bereits in der Zielumgebung vorhanden sind, ein Ansatz, der als "Leben vom Land" bekannt ist. Aus Beständigkeitsgründen wurde Karakurt mit mehreren verschiedenen Methoden beobachtet. Dazu gehörten zunächst die Erstellung von Diensten, die Bereitstellung von Remote-Management-Tools und die Verbreitung von Backdoor-Bedrohungen auf den Systemen des Opfers, wie beispielsweise Cobalt-Strike-Beacons. Jedoch, neuere Karakurt-Operationen haben Cobalt Strike eingestellt und stellen stattdessen Persistenz über das Netzwerk über einen VPN-IP-Pool und AnyDesk, eine Remote-Desktop-Anwendung, her. Wenn es den Hackern nicht gelingt, über die im Besitz befindlichen Anmeldeinformationen erhöhte Berechtigungen zu erlangen, versuchen sie dies, indem sie Mimikatz bereitstellen oder PowerShell verwenden.

Datendiebstahl

Der letzte Schritt des Angriffs ist die Exfiltration der Daten des Opfers. Die ausgewählten Dateien werden zuerst entweder durch 7zip oder WinZip komprimiert. Danach wird Rclone von FileZilla (SFTP) zum Angeben verwendet, bevor die Informationen schließlich in den Mega.io-Cloud-Speicher exfiltriert werden. Laut den Forschern sind C:\Perflogs und C:\Recovery zwei Verzeichnisse, die in der Staging-Phase der Datenexfiltration verwendet wurden.

Die Gruppe hat bereits im Juni 2021, Monate vor ihren ersten bedrohlichen Operationen, zwei Datenleck-Sites eingerichtet. Die beiden Websites, die von infosec-Forschern identifiziert wurden, sind karakurt.group und karakurt.tech. Die Hackergruppe hat auch einen Twitter-Account, der im August erstellt wurde.