Karakurt hacker csoport
Az Accenture Cyber Investigations, Forensics and Response (CIFR) csapata egy korábban nem ismert csoportot azonosított, akik 2021 szeptembere és novembere között több, mint 40 szervezet ellen elkövettek el adatlopási és zsarolási támadásokat.
A csoport elég friss, az oldalai Karakurt[.]group és karakurt[.]tech is csak 2021. júniusában lettek regisztrálva és az első támadás is csak szeptemberre tehető. Az eddigi tapasztaltok alapján nem a „nagyvadakra”, csupán azok leányvállalatira, beszállítóira, vagy kisebb cégekre vadásztak eddig, többnyire az Egyesült Államokban és egy kicsit Európában, főleg a nagyvállalti szolgáltatások, az egészségügy, az ipar, a kiskereskedelem, a technológia és a szórakoztatás ágazatra utaznak. Az elemzések alapján a behatolás után az adatok szűrésére és az azokkal való zsarolásra utaznak, nem használnak nagy zsarolóvírusprogramokat.
A hálózatokat az elsődleges adatok alapján valós VPN adatokkal érik el – amit nem tudni honnan szerezték meg – majd AnyDesk külső távoli hozzáférést használnak a feltört eszközökhöz való hozzáféréshez. A behatolás után Mimikatz-et, Cobalt Strike-ot, PowerShell parancsokat használnak. A Karakurt csoport 7zip-et és a WinZip-et használja a tömörítéshez, valamint az Rclone-t, vagy a FileZillát (SFTP) a továbbításhoz a Mega.io felhőtárhelyhez.
Az Accenture Security megadta a csoport által használt taktikák, technikák és eljárások (TTP) részleteit, valamint a kárenyhítési javaslatokat is.