Le nouvel acteur de la menace Karakurt se concentre sur l'extorsion, pas sur les ransomwares

Des chercheurs de la société de sécurité Accenture ont publié un rapport sur un nouveau grand nom du paysage des acteurs menaçants. La nouvelle entité s'appelle Karakurt et selon les chercheurs, elle a réussi à faire plus de 40 victimes en quelques mois seulement en 2021.

Karakurt est un mot-valise des mots turcs pour "noir" et "loup" et se rencontre également comme nom de famille turc. C'est aussi un autre nom pour l'araignée veuve noire européenne. Il convient de noter qu'il ne s'agit pas d'un nom donné à la tenue par des chercheurs en sécurité mais d'un nom que le groupe s'est choisi.

Un acteur menaçant se lance dans l'extorsion à cause d'un ransomware

Karakurt est apparu comme un point rouge sur les radars des chercheurs au milieu de 2021, mais a considérablement augmenté son activité au cours des derniers mois. Accenture décrit l'acteur menaçant comme « financièrement motivé, opportuniste » et ciblant apparemment des entités plus petites, restant à l'écart du « gros gibier ». Pas trop difficile d'imaginer pourquoi c'est, après ce qui s'est passé avec le groupe Darkside après qu'un de leurs affiliés a lancé une attaque paralysante contre Colonial Pipeline aux États-Unis et a provoqué une réaction incroyable sur Darkside, conduisant à la fermeture apparente de l'acteur menaçant.

Semblable à la plupart des acteurs de ransomware, Karakurt cible principalement des entreprises et des entités situées sur le sol américain, avec seulement 5 % du total des attaques visant des cibles en Europe. Cependant, les similitudes avec la plupart des ransomwares dans le mode de fonctionnement s'arrêtent là. Karakurt n'est pas un gang de ransomware.

Au lieu de cela, le nouvel acteur de la menace s'est concentré sur une approche plus rapide : entrer et sortir rapidement, exfiltrer autant de données sensibles que possible, puis extorquer de l'argent pour les informations volées.

Accenture pense également que cette approche deviendra de plus en plus populaire parmi les acteurs de la menace à l'avenir et s'attend à une légère évolution des ransomwares vers une approche pure « exfiltrer et extorquer », combinée à une évolution vers des cibles qui ne causeront pas de perturbations sociétales ou infrastructurelles lorsque frapper.

Les méthodes et outils de Karakurt

Karakurt utilise des outils et des applications déjà installés sur les réseaux victimes pour l'infiltration. La méthode courante d'infiltration dans les attaques du groupe jusqu'à présent a été l'utilisation d'identifiants de connexion VPN légitimes. Cependant, la manière dont ceux-ci ont été obtenus n'est pas claire.

À partir de ce moment, Accenture brosse un tableau des actions de Karakurt qui n'est que trop familier maintenant - des balises Cobalt Strike pour la communication de commandement et de contrôle. Le mouvement latéral à travers les réseaux est réalisé à l'aide de tous les outils disponibles, de PowerShell aux applications malveillantes tierces. L'équipe de pirates utilise des outils de compression populaires pour compresser les données volées avant de les envoyer à mega dot io pour le stockage.