Cục Điều tra Liên bang Mỹ (FBI) cùng với Cơ quan An ninh mạng & Cơ sở hạ tầng (CISA) và các Cơ quan Liên bang khác, gần đây đã đưa ra một ý kiến chung về an ninh mạng (CSA) đối với nhóm tống tiền dữ liệu Karakurt (còn được gọi là Karakurt Team và Karakurt Lair).
Giống như RansomHouse, Karakurt không bận tâm đến việc mã hóa dữ liệu. Thay vào đó, nó chỉ đánh cắp dữ liệu và đòi tiền chuộc. Nếu tổ chức nạn nhân từ chối thanh toán, dữ liệu bị đánh cắp sẽ được bán đấu giá hoặc bị rò rỉ ra công chúng cho bất kỳ ai lấy trộm và sử dụng sai mục đích vì lợi ích cá nhân.
Người ta có thể thắc mắc tại sao các Cơ quan Liên bang lại quyết định tập trung vào Karakurt trong khi nó chỉ là một nhóm tương đối ít người biết đến. Nó không có các cuộc tấn công mạnh mẽ cũng như không có số lượng lớn các cuộc tấn công dưới vành đai của nó.
Theo Bleeping Computer, Karakurt được cho là “cánh tay tống tiền dữ liệu” của tổ chức ransomware Conti. Bằng chứng khác từ hai công ty lưu lượng truy cập blockchain, Chainalysis và Tetra Defense, có thể chứng minh điều này. Trong một báo cáo vào tháng trước, họ đã đánh giá “với mức độ tin cậy cao” rằng Karakurt “có liên kết hoạt động với cả hai nhóm ransomware Conti và Diavol”.
Nhóm tống tiền Karakurt
Nhóm Karakurt lấy tên từ một loại nhện góa phụ đen. Các nhà nghiên cứu đã chỉ ra rằng nhóm ví các chiến thuật tống tiền của mình với vết cắn của nhện karakurt.
Nhóm ứng phó sự cố mạng (CIRT) của Tập đoàn NCC đã làm nổi bật các hoạt động của Karakurt vào tháng 2 năm 2022. Tuy nhiên, Karakurt ban đầu được gọi là Nhóm tấn công Karakurt (KHT), đã xuất hiện từ tháng 6 năm 2021. Điều này cũng đánh dấu việc tạo ra các miền và tài khoản được liên kết với nhóm, cụ thể là các trang kết xuất của nó và sau đó là tài khoản Twitter của nó vào tháng 8 năm 2021.
Ảnh chụp màn hình một phần của nhóm “blurb” trên trang rò rỉ dark web của nhóm
(Nguồn: Arctic Wolf )
Theo một báo cáo từ Accenture Security, Karakurt đã không đẩy mạnh tống tiền cho đến tháng 9 năm 2021. Sau hai tháng, nhóm tống tiền đã lừa được 40 tổ chức trong nhiều ngành. Tuy nhiên, các chuyên gia từ Digital Shadows dường như phản đối con số này, cho rằng số nạn nhân là hơn 80 .
Về việc trở thành nạn nhân, rõ ràng là Karakurt không kén chọn mục tiêu. Về các địa điểm mục tiêu, nhóm tống tiền thích các tổ chức nhỏ có trụ sở tại Hoa Kỳ, Vương quốc Anh, Canada và Đức.
Nhóm tống tiền nhắm mục tiêu các tổ chức sử dụng máy chủ Fortigate VPN (Mạng riêng ảo) một yếu tố bằng thông tin đăng nhập Active Directory hợp pháp. Không biết bằng cách nào mà nhóm có được những thông tin đăng nhập này; tuy nhiên, không có gì ngạc nhiên khi họ có quyền truy cập và đặc quyền quản trị trên các máy chủ bị xâm nhập.
Từ đó, Karakurt có thể sử dụng các công cụ khác nhau mà nó có. Tùy thuộc vào mục tiêu, nhóm có thể thực hiện cách tiếp cận “sống nhờ đất” trong chiến thuật, bộ công cụ và kỹ thuật xâm nhập của mình. Nó cũng có thể sử dụng các công cụ hậu khai thác phổ biến như Cobalt Strike , AnyDesk và Mimikatz.
Khi Karakurt có dữ liệu mà nó muốn trích xuất, nó sẽ sử dụng 7zip và WinZip để nén các tệp trước khi gửi chúng Mega.ioqua FileZilla hoặc Rclone.
Karakurt’s home page
Karakurt yêu cầu một khoản tiền chuộc từ 25.000 USD đến 13 triệu USD bằng Bitcoin. Thời hạn thanh toán thường là bảy ngày sau khi nạn nhân liên hệ với nhóm tống tiền.
Phân mảnh thành các tế bào
Các nhóm ransomware đã trải qua một giai đoạn mới trong vài tháng nay. Nếu họ không chia thành các nhóm nhỏ hơn (“tế bào”) để tham gia vào các nhóm tội phạm khác, họ sẽ luân phiên sử dụng phần mềm độc hại để tránh các lệnh trừng phạt ngày càng tăng của Hoa Kỳ và áp lực từ cơ quan thực thi pháp luật.
Kể từ khi Hoa Kỳ chính thức trừng phạt Evil Corp , nhóm người Nga đứng sau Trojan ngân hàng Dridex , mọi thứ bắt đầu thay đổi , cả về phía nạn nhân của ransomware và các chi nhánh sử dụng ransomware. Các nạn nhân bắt đầu từ chối trả tiền để tuân thủ các biện pháp trừng phạt và các nhóm này bắt đầu luân phiên sử dụng các biến thể ransomware trong các chiến dịch của họ để tránh bị liên kết với một nhóm bị trừng phạt.
Khi Conti “ra đi”, một sự chia rẽ cũng xảy ra trong tổ chức. Các nhà nghiên cứu từ Advanced Intel có dữ liệu cho thấy các thành viên của tổ chức ransomware trước đây phân tán khỏi nhóm cốt lõi để tham gia vào các nhóm ransomware nhỏ hơn .
Conti không liên kết với Evil Corp, nhưng cả hai nhóm đều có mối ràng buộc tương tự ảnh hưởng đến tỷ suất lợi nhuận của họ nhưng không đủ để khiến họ hoàn toàn từ bỏ cuộc sống tội phạm. Thật không may, các thành viên và chi nhánh được hưởng lợi từ việc tách rời và xa rời các nhóm này.
Trong một cuộc phỏng vấn với Wall Street Journal, Kimberly Goody – Giám đốc phân tích tội phạm mạng của Mandiant nói rằng những thay đổi này đã che khuất danh tính của tin tặc Evil Corp “tại thời điểm tấn công, loại bỏ các nhà điều tra và các công ty nạn nhân tuân thủ lệnh trừng phạt”. Điều tương tự cũng có thể nói về các cựu diễn viên liên kết với tổ chức Conti.
Giữ Karakurt tránh xa mạng và dữ liệu của bạn
Chúng tôi khuyên các tổ chức nên ưu tiên thực hiện các bước giảm thiểu để ngăn các nhóm tống tiền như Karakurt xâm nhập thành công vào mạng của bạn. Dưới đây là một số cách để làm điều đó.
- Triển khai xác thực đa yếu tố (MFA) trong mọi điểm truy cập của doanh nghiệp, bao gồm cả truy cập VPN một yếu tố
- Đảm bảo rằng tất cả các máy chủ kiểm soát miền được cập nhật với các bản vá mới nhất
- Vô hiệu hóa các cổng không sử dụng
- Cài đặt giải pháp bảo mật điểm cuối hiệu quả và tập trung vào cách tiếp cận theo lớp để bảo vệ hệ thống và tài sản kinh doanh
- Tạo và triển khai kế hoạch khôi phục (nếu doanh nghiệp của bạn chưa có), bao gồm cách duy trì và giữ lại các bản sao lưu
- Phân đoạn mạng của bạn để ngăn kẻ xấu tiếp cận các điểm đến chứa dữ liệu độc quyền và nhạy cảm nhất của tổ chức bạn
- Kiểm tra các tài khoản đặc quyền cao thường xuyên.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn: https://www.malwarebytes.com/blog/news/2022/06/karakurt-extortion-group-threat-profile