Karakurt Team atinge América do Norte e Europa com roubo de dados e extorsão

Os ataques da Karakurt Team estão atingindo alvos indiscriminados na América do Norte e na Europa com roubo de dados, solicitando um resgate para excluir dados roubados. Saiba mais sobre seus métodos e como se proteger disso.

Um novo Conselho de Segurança Cibernética (CSA) conjunto foi emitido pelo Federal Bureau of Investigation (FBI), a Agência de Segurança Cibernética e Infraestrutura (CISA), o Departamento do Tesouro (Tesouro) e a Rede de Repressão a Crimes Financeiros (FinCEN) para aumentar conscientização e fornecer informações sobre o Karakurt Data Extortion Group.

Quem é o Grupo de Extorsão de Dados de Karakurt?

O Karakurt Data Extortion Group, também conhecido como Karakurt Team e Karakurt Lair, é um agente de ameaças que ameaça empresas a divulgar publicamente dados roubados internos, a menos que recebam o pagamento de um resgate, que varia de US$ 25.000 a US$ 13.000.000 em Bitcoin (BTC), dentro de uma semana.

De acordo com a AdvIntel, a Karakurt Team é um subgrupo do ator de ameaças CONTI, mostrado na Figura A.

VEJA: The Dark Web: Um guia para profissionais de negócios (PDF gratuito) (TechRepublic)

Esse subgrupo, de acordo com os pesquisadores da AdvIntel, foi criado para monetizar os comprometimentos das vítimas quando não puderam ser resgatados por meio do uso de ransomware. Parece que acontece com bastante frequência que os ransomwares usados ​​pelo CONTI não podem ser executados ou falhar na criptografia de dados devido a problemas técnicos ou de privilégios, o que leva a zero receita para eles. Nesse caso, a equipe do Karakurt pode trabalhar na monetização do roubo de dados em vez da criptografia de dados.

Figura A

Imagem: AdvIntel. Ligações CONTI e Karakurt Team.

Modo de operação

A equipe Karakurt emprega diferentes táticas, técnicas e procedimentos (TTPs) contra alvos que parecem selecionados aleatoriamente.

O comprometimento inicial que permite que o agente da ameaça tenha o ao alvo geralmente envolve a obtenção de credenciais de válidas, que podem ser compradas, trocadas por meio de parceiros cooperantes no crime ou por meio da compra de o a vítimas já comprometidas. Isso é feito por meio de intermediários de o inicial (IAB) de terceiros.

O agente da ameaça também tem a capacidade de explorar vulnerabilidades comuns para o inicial. Alguns exemplos são a infame vulnerabilidade Log4Shell, dispositivos VPN desatualizados vulneráveis ​​ou macros maliciosas do Microsoft Office.

Depois que a equipe Karakurt obteve o válido, eles implantam beacons Cobalt Strike para enumerar a rede, antes de instalar e usar o mimikatz para coletar mais credenciais. Eles também usam o software AnyDesk para obter controle remoto persistente e mais ferramentas para elevar seus privilégios no sistema e mover-se lateralmente na rede.

O próximo o da Karakurt Team é exfiltrar grandes quantidades de dados. Em muitos casos, unidades compartilhadas inteiras conectadas à rede são compactadas com 7zip antes de serem exfiltradas usando aplicativos de código aberto e serviços FTP (File Transfer Protocol). Os volumes podem exceder 1 TB de dados.

As notas de resgate são então enviadas por e-mail aos funcionários pelas redes de e-mail comprometidas e e-mails enviados de contas de e-mail externas. A nota contém uma atribuição à Karakurt Team e um link para um URL TOR com um código de o.

Clicar nesse link e usar o código de o leva a um aplicativo de bate-papo usado para negociar com um agente de ameaças Karakurt.

O comunicado menciona que “as vítimas de Karakurt relataram extensas campanhas de assédio por atores de Karakurt nas quais funcionários, parceiros de negócios e clientes recebem vários e-mails e telefonemas alertando os destinatários para incentivar as vítimas a negociar com os atores para impedir a disseminação de dados das vítimas. Essas comunicações geralmente incluíam amostras de dados roubados – principalmente informações de identificação pessoal (PII), como registros de emprego, registros de saúde e registros de negócios financeiros.”

Mais capturas de tela mostrando árvores de arquivos de dados roubados podem ser mostradas pelo agente da ameaça. Após acordo sobre o preço da exclusão de dados, a vítima recebe um novo endereço Bitcoin não utilizado anteriormente para o qual o pagamento pode ser feito.

Se o pagamento for feito, a Karakurt Team fornece evidências de exclusão de dados: gravações de tela de arquivos sendo excluídos, arquivo de log de exclusão ou credenciais para ar um servidor de armazenamento, para que a vítima possa excluir os dados por conta própria.

Em alguns casos, a Karakurt Team atacou empresas que foram anteriormente atingidas por ransomware ou atacadas ao mesmo tempo por agentes de ameaças de ransomware. Isso sugere que a Karakurt Team às vezes compra o o inicial que é vendido a outros agentes de ameaças de resgate ao mesmo tempo.

Por fim, o Karakurt Team às vezes exagera o grau de comprometimento da vítima, alegando roubo de volume maior que a capacidade de armazenamento ou roubo de dados que não pertencem à vítima.

Como se proteger dessa ameaça?

Para começar, os dados confidenciais dentro das empresas precisam ser armazenados com segurança, em armazenamento segmentado ou fisicamente separado. E várias cópias seguras devem ser feitas. Os dados também devem ter backups regulares, sendo os backups pelo menos protegidos por senha e armazenados offline.

VEJA: Como se tornar um profissional de segurança cibernética: uma folha de dicas (TechRepublic)

Todos os sistemas operacionais e softwares precisam estar constantemente atualizados para evitar serem comprometidos por uma vulnerabilidade comum. E o software de segurança precisa ser implantado em todos os endpoints e servidores.

Além disso, privilégios istrativos devem ser fornecidos apenas aos funcionários que precisam deles para suas atividades, e os controles de o precisam ser definidos na empresa usando princípios de o de privilégio mínimo. Além disso, a autenticação multifator (MFA) precisa ser definida para o o de todos os funcionários. Controladores de domínio, servidores e estações de trabalho e o diretório ativo também devem ser revisados ​​regularmente para contas novas ou não reconhecidas.

Por fim, treinamentos e conscientização sobre segurança cibernética precisam ser fornecidos aos funcionários, especialmente em relação a phishing e spear phishing.