Eine neue aufstrebende Hacking-Horde für jedes Datendiebstahl und Cyber-Erpressung

Eine zuvor undokumentierte, monetär motivierte Bedrohungsgruppe wurde zwischen September und November 2021 mit einer Schlange von Datendiebstahl- und Erpressungsangriffen hinaus gut 40 Unternehmen in Zusammenhang gebracht.

Dies Hacker-Verbands…, dies den selbsternannten Namen trägt Karakurt und wurde erstmals im Monat des Sommerbeginns 2021 identifiziert, ist in jener Position, seine Taktiken und Techniken zu ändern, um sich an die Zielumgebung anzupassen, sagte dies Cyber ​​Investigations, Forensics and Response (CIFR)-Team von Accenture in einem am 10. letzter Monat des Jahres veröffentlichten Lagebericht.

„Die Bedrohungsgruppe ist monetär motiviert, opportunistisch und scheint bisher kleinere Unternehmen oder Konzerntöchter im Vergleich zum alternativen Herangehensweise jener Großwildjagd anzugreifen“, sagte dies CIFR-Team. “Basierend hinaus jener bisherigen Einbruchsanalyse konzentriert sich die Bedrohungsgruppe ausschließlich hinaus die Datenexfiltration und die anschließende Erpressung und nicht hinaus die destruktivere Verfügbarmachung von Ransomware.”

95 % jener bekannten Todesopfer leben in Nordamerika, die restlichen 5 % in Europa. Die Branchen Professionelle Dienstleistungen, Gesundheitswesen, Industrie, Einzelhandel, Technologie und Unterhaltung wurden am stärksten ins Visier genommen.

Dies Ziel, so die Forscher, ist es, so weit wie möglich zu vermeiden, hinaus seine bösartigen Aktivitäten konzentriert zu zeugen, während man sich hinaus Techniken des Live-Off-the-Staat (LotL) verlässt, nebst denen die Angreifer legitime Software und Funktionen schänden, die in einem System verfügbar sind, wie z. B. Betriebssystemkomponenten oder installierte Software zum seitlichen Verschieben und Exfiltrieren von Wissen, im Streitfrage zum Pfand von Postdienststelle-Exploitation-Tools wie Cobalt Strike.

Da Ransomware-Angriffe im Zuge von Vorfällen gegen Colonial Pipeline, JBS und Kaseya sowie den anschließenden Strafverfolgungsmaßnahmen, die dazu geführt nach sich ziehen, dass Akteure wie DarkSide, BlackMatter und REvil ihre Operationen eingestellt nach sich ziehen, weltweite Geschenk erregt, scheint Karakurt es zu versuchen unterschiedlicher Herangehensweise.

Anstatt Ransomware einzusetzen, nachdem sie sich gut legitime VPN-Anmeldeinformationen ersten Zugriff hinaus die internetfähigen Systeme jener Todesopfer verschafft nach sich ziehen, unterordnen sich die Akteure sozusagen ausschließlich hinaus Datenexfiltration und -erpressung, ein Schrittgeschwindigkeit, jener die Geschäftsaktivitäten jener Todesopfer weniger wahrscheinlich zum Erliegen bringt und Karakurt . ungeachtet ermöglicht denn Gegenleistung für jedes die gestohlenen Informationen ein “Lösegeld” zu verlangen.

Neben jener Verschlüsselung ruhender Wissen wird Organisationen empfohlen, ggf. die Multi-Koeffizient-Authentifizierung (MFA) zu freigeben, um Konten zu authentifizieren, RDP hinaus externen Geräten zu deaktivieren und die Unterbau hinaus die neuesten Versionen zu updaten, um zu verhindern, dass Angreifer ungepatchte Systeme publik ausnutzen – bekannte Schwachstellen.