Jump to content

Группа высокопрофессиональных хакеров Karakurt вымогает деньги у организаций


security147

Recommended Posts

Группа высокопрофессиональных хакеров Karakurt вымогает деньги у организаций

15:27 / 10 Декабря, 2021 2021-12-10T16:27:47+03:00

Alexander Antipov

По словам самих хакеров, с сентября по ноябрь 2021 года они взломали сети более 40 жертв.

https://www.securitylab.ru/upload/iblock/a13/a13711589deaa691850efdba9cb8ffd7.jpg

Специалисты ИБ-компании Accenture Security рассказали о группе высокопрофессиональных хакеров, активизировавших свою деятельность в третьем квартале нынешнего года.

Хакеры, преследующие финансовую выгоду и называющие себя Karakurt, попали в поле зрения исследователей в июне 2021 года, когда зарегистрировали два домена и завели страницу в Twitter.

Основной деятельностью группировки является похищение данных и вымогательство, при этом ПО для шифрования файлов она не использует. По словам самих хакеров, с сентября по ноябрь 2021 года они взломали сети более 40 жертв и опубликовали похищенные файлы на своем сайте.

Порядка 95% жертв находятся в Северной Америке, а остальные – в Европе. Karakurt не интересуют какие-то конкретные отрасли, и виктимология кажется случайной.

Для получения первоначального доступа к сетям атакуемых организаций злоумышленники в основном используют учетные данные для VPN, либо полученные в результате фишинга, либо купленные у продавцов.

Если раньше хакеры обеспечивали постоянство в сети с помощью Cobalt Strike, то недавно они переключились на AnyDesk. Это связано с тем, что в последнее время Cobalt Strike все чаще детектируется решениями безопасности, поэтому киберпреступники (в частности, вымогатели Conti) стали переходить на AnyDesk.

Закрепившись в атакуемой сети, Karakurt похищает дополнительные учетные данные с помощью Mimikatz и использует их для незаметного повышения привилегий.

Похищенные данные архивируются с помощью 7zip и WinZip и отправляются на файлообменник Mega.io через Rclone или FileZilla.

Хотя подобные атаки кажутся не столь разрушительными по сравнению с атаками программ-вымогателей, которые шифруют файлы и удаляют резервные копии, они все равно очень опасны. Угрозы опубликовать похищенную информацию могут иметь серьезные последствия для компании, даже если ее операции не были «заморожены» шифровальщиком.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Adblock test (Why?)

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...