Surge la amenaza de extorsión "Karakurt", pero dice no al ransomware - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Surge la amenaza de extorsión «Karakurt», pero dice no al ransomware

Hola otra vez. Yo soy Eduardo Arroyo y esta vez te voy a contar sobre Surge la amenaza de extorsión «Karakurt», pero dice no al ransomware

Surge la amenaza de extorsión «Karakurt», pero dice no al ransomware

El grupo de amenazas, identificado por primera vez en junio, se centra únicamente en la exfiltración de datos y la extorsión posterior, y ya ha atacado a 40 víctimas desde septiembre.

Hay un nuevo grupo de amenazas con motivaciones financieras en aumento y, para variar, no parecen estar interesados ​​en distribuir ransomware o eliminar objetivos de alto perfil.

Los investigadores de Accenture Security siguieron a un grupo que se hacía llamar «Karakurt», que significa «lobo negro» en turco y es el nombre de una araña venenosa que se encuentra en Europa del Este y Siberia.

Karakurt se centra en la exfiltración de datos y la extorsión posterior, lo que le permite moverse rápidamente. De hecho, desde septiembre ya ha cobrado más de 40 víctimas, el 95 por ciento de ellas en Norteamérica y el resto en Europa. revelado en un informe lanzado el viernes.

«El grupo de amenazas está motivado financieramente, de naturaleza oportunista y, hasta ahora, parece estar apuntando a empresas más pequeñas o subsidiarias corporativas sobre el enfoque alternativo para la caza mayor», escribieron en el informe.

Los investigadores dijeron que esperan que Karakurt se convierta en algo así como un creador de tendencias y que en el futuro otros grupos dejarán de apuntar a grandes corporaciones o proveedores de infraestructura crítica con ransomware para adoptar un enfoque similar de exfiltración / extorsión.

Esto se debe a que «permite una ejecución más rápida de los ataques y evita la interrupción intencional de las operaciones comerciales, pero aún así produce apalancamiento en términos de extorsión de datos», dijo el equipo de Accenture Cyber ​​a Threatpost en un correo electrónico. Investigaciones, análisis forense y respuesta (CIFR) .

Investigadores fuera de Accenture Security identificaron a Karakurt por primera vez en junio, cuando comenzó a configurar su infraestructura y sitios de fuga de datos, dijeron a Threatpost los investigadores de Accenture CIFR. Ese mes, el grupo registró los sitios karakurt.group y karakurt.tech; y creó el identificador de Twitter @karakurtlair en agosto. No mucho después, siguió el primer ataque exitoso del grupo.

Las fuentes de recolección y el análisis de intrusión de Accenture Security identificaron a la primera víctima del grupo en septiembre; dos meses después, el grupo reveló a su víctima en el sitio web karakurt.group, dijeron los investigadores.

Las tácticas, técnicas y procedimientos (TTP) de Karakurt para infiltrarse en las redes de víctimas, ganar persistencia, moverse hacia los lados y robar datos son similares a las de muchos actores de amenazas, y el grupo a menudo adopta un enfoque de «tierra viva». Según la superficie de ataque, los investigadores dicho, es decir, utilizando herramientas o funciones que ya existen en el entorno de destino.

El grupo establece el inicio de sesión inicial utilizando credenciales VPN legítimas, aunque los investigadores dijeron que no está claro cómo obtienen esas credenciales. «Una posibilidad es la explotación de dispositivos VPN vulnerables, pero todos los casos incluyeron una aplicación de autenticación multifactor (MFA) inconsistente o ausente para las cuentas de usuario», escribieron en el informe.

Para mantener la persistencia una vez que haya iniciado sesión en una red, Karakurt utiliza principalmente la construcción de servicios, el software de administración remota y la implementación de balizas de comando y control (C2) en entornos de víctimas usando Cobalt Strike.

Sin embargo, recientemente el grupo parece haber cambiado de táctica al implementar la persistencia de respaldo, anotaron los investigadores. En lugar de implementar Cobalt Strike, Karakurt «persistió dentro de la red de la víctima a través del grupo de IP VPN o instaló AnyDesk para permitir el acceso remoto externo a los dispositivos comprometidos», escribieron. Esto permite que el grupo aproveche las credenciales de usuario, servicio y administrador obtenidas previamente para navegar hacia los lados.

El grupo también utilizará otras herramientas de administración remota, protocolo de escritorio remoto (RDP), Cobalt Strike y comandos de PowerShell para navegar hacia los lados y descubrir datos relevantes para robar y usar con fines de extorsión según sea necesario, dijeron los investigadores.

Si Karakurt no puede elevar los privilegios usando credenciales, recurren a Mimikatz o PowerShell para hacerlo, pero solo si es necesario, anotaron los investigadores.

En general, el vector de ataque del grupo hasta ahora muestra que es lo suficientemente ágil como para modificar sus tácticas dependiendo del entorno de la víctima, dijeron los investigadores a Threatpost. Y debido a que Karakurt a menudo usa credenciales válidas para iniciar sesión en las redes, en muchos casos puede evadir la detección.

Finalmente, para robar los datos, Karakurt usa 7zip y WinZip para la compresión, así como Rclone o FileZilla (SFTP) para la puesta en escena y la exfiltración final en el almacenamiento en la nube de Mega.io. Según Accenture Security, los directorios de prueba utilizados para exfiltrar datos en los ataques fueron C: Perflogs y C: Recovery.

Los investigadores han brindado consejos de mitigación típicos a las organizaciones para evitar verse comprometidos y extorsionados por Karakurt, quien se comunicará con las empresas varias veces para presionarlas para que paguen una vez que se tomen sus datos.

Las organizaciones deben mantener las mejores prácticas, como parchear todos los sistemas, especialmente los que están conectados a Internet; actualización de software antivirus; implementar políticas estrictas de salida de la red; y el uso de listas blancas de aplicaciones siempre que sea posible para protegerse, aconsejaron los investigadores.

Dada la tendencia del grupo a utilizar credenciales válidas, las organizaciones también deben hacer que las contraseñas sean lo más complejas posible, así como utilizar MFA siempre que sea posible.

Además, solo deben usar cuentas de administrador para fines administrativos válidos y nunca conectarse a la red o navegar por Internet, y también deben aplicarlas con MFA multiplataforma, recomendaron los investigadores.

También se recomienda que se busquen los TTP de los atacantes, incluidas las técnicas comunes de vida en la superficie que utiliza Karakurt, para detectar, responder y mitigar ataques de manera proactiva.

.

No te olvides compartir en tu Facebook para que tus amigos lo flipen

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *