Karakurt

Karakurt est un groupe de cybercriminalité nouvellement créé qui, en quelques mois seulement, a réussi à faire plus de 40 victimes. Contrairement à la majorité des groupes APT à motivation financière, Karakurt ne crypte pas les données de ses victimes via une menace de ransomware. Au lieu de cela, ses opérations se concentrent sur l'exfiltration de données sensibles des systèmes violés, puis sur l'extorsion des victimes en menaçant de divulguer les informations obtenues au public.

Une autre caractéristique distincte de Karakurt est que les pirates ont dévié de l'approche typique consistant à cibler les grandes entreprises ou les services d'infrastructure critiques. Au lieu de cela, les pirates présentent une approche plus rapide où ils compromettent les petites entreprises ou les filiales d'entreprises. Cela permet à Karakurt de passer à la prochaine victimerapidement. Jusqu'à présent, la majorité des organisations compromises provenaient d'Amérique du Nord, l'Europe étant loin derrière.

Tactiques de menace adaptatives

Les hackers de Karakurt ont également montré leur capacité à adopter de nouvelles techniquesrapidement et changer les menaces de logiciels malveillants utilisés. Selon les chercheurs d'infosec d'Accenture Security qui surveillent les activités du groupe, Karakurt utilise des informations d'identification VPN légitimes comme vecteur d'accès initial. Cependant, jusqu'à présent, il n'a pas été déterminé comment les pirates informatiques obtiennent ces informations d'identification.

Une fois à l'intérieur du réseau, les cybercriminels parviennent à la persistance, essaient de se déplacer latéralement et exploitent des outils ou des fonctionnalités déjà existants sur l'environnement ciblé, une approche connue sous le nom de « vivre de la terre ». Pour la persistance, Karakurt a été observé en utilisant plusieurs méthodes différentes. Initialement, ceux-ci comprenaient la création de services, le déploiement d'outils de gestion à distance et la diffusion de menaces de porte dérobée sur les systèmes de la victime, telles que les balises Cobalt Strike. Pourtant,les opérations Karakurt plus récentes ont abandonné Cobalt Strike et établissent à la place la persistance à travers le réseau via le pool IP VPN et AnyDesk, une application de bureau à distance. Si les pirates ne parviennent pas à acquérir des privilèges élevés via les informations d'identification possédées, ils essaieront de le faire en déployant Mimikatz ou en utilisant PowerShell.

Le vol de données

La dernière étape de l'attaque est l'exfiltration des données de la victime. Les fichiers choisis sont d'abord compressés via 7zip ou WinZip. Par la suite, Rclone of FileZilla (SFTP) est utilisé pour indiquer avant que les informations ne soient finalement exfiltrées vers le stockage en nuage Mega.io. Selon les chercheurs, deux répertoires qui ont été utilisés dans la phase de préparation de l'exfiltration des données sont C:\Perflogs et C:\Recovery.

Le groupe a mis en place deux sites de fuite de données dès juin 2021, des mois avant leurs premières opérations menaçantes. Les deux sites identifiés par les chercheurs d'infosec sont karakurt.group et karakurt.tech. Le groupe de hackers possède également un compte Twitter qui a été créé en août.