Karakurt adatzsaroló csoport

A Szövetségi Nyomozóiroda (FBI), a Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség (CISA), a Pénzügyminisztérium és a Pénzügyi Bűnüldözési Hálózat (FinCEN) közzétett egy közös kiberbiztonsági figyelmeztetést (CSA), amelyben a Karakurt adatzsaroló csoportról közölnek részleteket. A Karakurt szereplői számos taktikát, technikát és eljárást (TTP) alkalmaztak, ami jelentős kihívást jelent a védekezés és a kárenyhítés szempontjából. A Karakurt áldozatai nem számoltak be a veszélyeztetett gépek vagy fájlok titkosításáról, inkább azt állították, hogy adatokat lopnak el, és azzal fenyegetőztek, hogy elárverezik vagy nyilvánosságra hozzák azokat, hacsak nem kapják meg a követelt váltságdíjat. Az ismert váltságdíjkövetelések 25 000 és 13 000 000 dollár között mozogtak Bitcoinban, a fizetési határidők pedig általában az áldozattal való első kapcsolatfelvételtől számított egy héten belül lejártak. A Karakurt szereplők jellemzően képernyőképeket vagy az ellopott fájlkönyvtárak másolatait adták át az ellopott adatok bizonyítékaként. A Karakurt szereplői zaklató e-mailekkel és telefonhívásokkal léptek kapcsolatba az áldozatok alkalmazottjaival, üzleti partnereivel és ügyfeleivel [T1591.002], hogy együttműködésre kényszerítsék az áldozatokat. Az e-mailek példákat tartalmaztak az ellopott adatokra, például társadalombiztosítási számokat, fizetési számlákat, magánjellegű vállalati e-maileket és az alkalmazottak vagy ügyfelek érzékeny üzleti adatait. A váltságdíj kifizetésekor a Karakurt szereplői valamilyen formában bizonyítékot szolgáltattak a fájlok törléséről és esetenként egy rövid nyilatkozatot, amelyben elmagyarázzák, hogyan történt az eredeti behatolás.

FORRÁS