Neuer Karakurt Threat Actor konzentriert sich auf Erpressung, nicht auf Ransomware

Forscher des Sicherheitsunternehmens Accenture haben einen Bericht über einen neuen großen Namen in der Landschaft der Bedrohungsakteure veröffentlicht. Die neue Einrichtung heißt Karakurt und hat es laut Forschern geschafft, 2021 in nur wenigen Monaten mehr als 40 Opfer zu zählen.

Karakurt ist ein Portmanteau der türkischen Wörter für „Schwarz" und „Wolf" und wird auch als türkischer Familienname angetroffen. Es ist auch ein anderer Name für die Europäische Schwarze Witwe. Es sei darauf hingewiesen, dass dies kein Name ist, den Sicherheitsforscher dem Outfit gegeben haben, sondern einen, den sich die Gruppe selbst ausgesucht hat.

Bedrohungsakteur will wegen Ransomware erpressen

Karakurt tauchte Mitte 2021 als roter Fleck auf Forscherradaren auf, hat jedoch in den letzten Monaten deutlich an Aktivität zugenommen. Accenture beschreibt den Bedrohungsakteur als "finanziell motiviert, opportunistisch", der scheinbar auf kleinere Einheiten abzielt und sich von "Großwild" fernhaltet. Es ist nicht schwer sich vorzustellen, warum dies nach dem, was mit der Darkside-Gruppe geschah, nachdem einer ihrer Partner einen lähmenden Angriff auf die Colonial Pipeline in den USA gestartet und eine unglaubliche Gegenreaktion auf Darkside auslöste, was zur offensichtlichen Abschaltung des Bedrohungsakteurs führte.

Ähnlich wie die meisten Ransomware-Akteure zielt Karakurt in erster Linie auf Unternehmen und Einrichtungen mit Sitz in den USA ab, wobei nur 5 % der gesamten Angriffe auf Ziele in Europa abzielen. Allerdings enden hier die Ähnlichkeiten zu den meisten Ransomware in der Funktionsweise. Karakurt ist keine Ransomware-Gang.

Stattdessen konzentrierte sich der neue Bedrohungsakteur auf einen schnelleren Ansatz – er ging schnell ein und aus, extrahierte so viele sensible Daten wie möglich und erpresste dann Geld für die gestohlenen Informationen.

Accenture geht außerdem davon aus, dass dieser Ansatz bei Bedrohungsakteuren in Zukunft immer beliebter werden wird und erwartet eine leichte Verschiebung weg von Ransomware hin zu einem reinen "Exfiltrate and Extort"-Ansatz, kombiniert mit einer Verschiebung hin zu Zielen, die keine gesellschaftlichen oder infrastrukturellen Störungen verursachen, wenn angeschlagen.

Karakurts Methoden und Werkzeuge

Karakurt verwendet für die Infiltration Tools und Anwendungen, die bereits in Opfernetzwerken installiert sind. Die gängige Methode zur Infiltration bei den Angriffen der Gruppe war bisher die Verwendung legitimer VPN-Anmeldedaten. Wie diese erhalten wurden, ist jedoch nicht klar.

Von diesem Punkt an zeichnet Accenture ein mittlerweile nur allzu bekanntes Bild von Karakurts Aktionen – Cobalt Strike Beacons für die Kommando- und Kontrollkommunikation. Die seitliche Bewegung über Netzwerke wird mit allen verfügbaren Tools erreicht, von PowerShell bis hin zu bösartigen Anwendungen von Drittanbietern. Das Hacker-Outfit verwendet beliebte Komprimierungstools, um die gestohlenen Daten zu verpacken, bevor sie zur Speicherung an mega dot io gesendet werden.