Федеральное бюро расследований (ФБР), Агентство по кибербезопасности и инфраструктурной безопасности (CISA), Министерство финансов (Казначейство) и Сеть по борьбе с финансовыми преступлениями (FinCEN) выпускают это совместное информационное сообщение по кибербезопасности (CSA), чтобы предоставить информацию о группе вымогателей данных Karakurt, также известной как Karakurt Team и Karakurt Lair.
Karakurt APT
Жертвы Karakurt не сообщали о шифровании взломанных машин или файлов; скорее, участники Karakurt заявляли о краже данных и угрожали продать их с аукциона или обнародовать, если они не получат требуемый выкуп.
В качестве доказательства похищенных данных субъекты Karakurt обычно предоставляли скриншоты или копии каталогов украденных файлов. Каракурты также связывались с сотрудниками, деловыми партнерами и клиентами жертв, донимая их электронными письмами и телефонными звонками, чтобы заставить жертв сотрудничать. После выплаты выкупа субъекты Karakurt предоставляли доказательства удаления файлов в той или иной форме и, иногда, краткое заявление, объясняющее, как произошло первоначальное вторжение.
Судя по всему, каракурты получают доступ к устройствам жертв в основном путем покупки украденных учетных данных для входа в систему и таргетинга с помощью spearphishing. После разработки или получения доступа к взломанной системе, субъекты Karakurt: устанавливают маячки Cobalt Strike для перечисления сети, устанавливают Mimikatz для получения учетных данных в открытом виде, используют AnyDesk для получения постоянного удаленного контроля, а также используют дополнительные инструменты в зависимости от ситуации для повышения привилегий и перемещения в сети. Затем участники Karakurt сжимают (обычно с помощью 7zip) и удаляют большие объемы данных, используя приложения с открытым исходным кодом и службы протокола передачи файлов (FTP), такие как Filezilla.
Indicators of Compromise
Domains
- karakurt.group
- omx5iqrdbsoitf3q4xexrqw5r5tfw7vp3vl3li3lfo7saabxazshnead.onion
URLs
- https://karakurt.group
- https://omx5iqrdbsoitf3q4xexrqw5r5tfw7vp3vl3li3lfo7saabxazshnead.onion
Emails
- armada.mitchell94@protonmail.com
- confedicial.datas.download@protonmail.com
- gapreappballye1979@protonmail.com
- karakurtlair@gmail.com
- personal.information.reveal@gmail.com
- ripidelfun1986@protonmail.com
- mark.hubert1986@gmail.com
SHA1
- 030394b7a2642fe962a7705dcc832d2c08d006f5
- 0e50b289c99a35f4ad884b6a3ffb76de4b6ebc14
- 10326c2b20d278080aa0ca563fc3e454a85bb32f
- 4d7f4bb3a23eab33a3a28473292d44c5965ddc95
- 7e654c02e75ec78e8307dbdf95e15529aaab5dff
- 86366bb7646dcd1a02700ed4be4272cbff5887af
- c33129a680e907e5f49bcbab4227c0b02e191770
SHA256
- 563bc09180fd4bb601380659e922c3f7198306e0caebe99cd1d88cd2c3fd5c1b
- 5e2b2ebf3d57ee58cada875b8fbce536edcbbf59acc439081635c88789c67aca
- 712733c12ea3b6b7a1bcc032cc02fd7ec9160f5129d9034bf9248b27ec057bd2