Gölgelerden sessizce çalışan sofistike bir siber suç grubu, bilgisayar korsanları tarafından gerçekleştirilen son siber saldırıları izleyen araştırmacılar tarafından taktiklerini ve prosedürlerini ifşa etti.
Hack grubu kendisini ‘Karakurt’ olarak adlandırıyor ve 3Ç 2021’de siber saldırılarını hızlandıran finansal amaçlı bir tehdit aktörü.
Karakurt etkinliğinin ilk belirtileri Haziran 2021’de, iki alan adının tescili ve bir Twitter tanıtıcısı oluşturulmasıyla tespit edildi.
Aktörler neredeyse sadece veri sızdırma ve gasp üzerine odaklanır ve kurbanlarının dosyalarını kilitlemek için fidye yazılımı kullanmıyorlar.
Karakurt hakkındaki rapor, grubun “topraktan yaşama” taktiklerini, araç seti ve izinsiz giriş tekniklerini izlemeyi başaran Accenture Security’deki araştırmacılardan geliyor.
Tehdit grubu, Eylül ve Kasım 2021 arasında 40’ın üzerinde kurbanı tehlikeye atmış olduğunu iddia ediyor ve sitelerinde indirilebilir çalıntı dosya paketleri yayınladı.
Bu kurbanların kabaca %95’i Kuzey Amerika’da, geri kalanı ise Avrupalı kuruluşlardan. Karakurt belirli bir sektöre odaklanmıyor, bu yüzden kurban bilimi rastgele görünüyor.
Giriş, yükseltme ve sızdırma
Aktör öncelikle, bir kurbanın ağına satıcılardan tedarik ederek veya kimlik avı yaparak ilk erişimi elde etmek için VPN kimlik bilgilerini kullanır.
Kalıcılık, yaygın olarak kötüye kullanılan Kobalt Strike uzaktan erişim aracını bırakarak kuruldu, ancak son saldırılarda Karakurt AnyDesk kullanmaya geçti.
Cobalt Strike işaretçilerinin güvenlik yazılımı tarafından daha agresif bir şekilde algılanmasıyla AnyDesk, Conti fidye çetesi.
Daha sonra aktör, Mimikatz’ı kullanarak yöneticilere ait ek kimlik bilgilerini çalar ve bunları tespit edilemeyen ayrıcalık yükseltmesi için kullanır.
“Bir izinsiz girişte Accenture Security, tehdit grubunun kimlik bilgileri erişimi lehine yaygın sömürü sonrası araçların veya emtia kötü amaçlı yazılımlarının kullanımından kaçındığını da gözlemledi,” Accenture.
“Bu yaklaşım, algılamadan kaçınmasını ve ortak uç nokta algılama ve yanıt (EDR) çözümleri gibi güvenlik araçlarını atlamasını sağladı.”
Verilerin ayıklanması için Karakurt, dosyaları sıkıştırmak için 7zip ve WinZip’i kullanır ve ardından her şeyi Rclone veya FileZilla aracılığıyla Mega.io gönderir.
Şifrelemesiz saldırılar
Bu saldırılar, verileri şifreleyen ve yedeklemeleri silen fidye yazılımı enfeksiyonlarına kıyasla daha az zarar verici görünse de, yine de oldukça zararlı olabilirler.
Çalınan dosyaları yayınlamakla tehdit etmek, operasyonel durumu bozulmamış olsa bile, saldırıların yürütülmesinde daha az ek yük söz konusu olsa bile bir şirketi dize getirebilir.
Bu nedenle, yeni hack grupları gibi SnapMC tehdit modeli olarak yalnızca veri sızdırma ve gasp üzerine odaklanmaktadır.
Fakat fidye ödemek garanti etmez tehdit aktörlerinin çalınan verileri sileceğini veya başkalarına satılmayacağını, bu nedenle yalnızca bir veri ihlalini önlemek için fidye ödemek asla akıllıca değildir.
Bunun yerine, kuruluşlar bu tehditleri ağlarından uzak tutmak için savunma, önleme ve algılama önlemlerine odaklanmalıdır.