Julien
Un groupe de cybercriminalité sophistiqué qui a travaillé discrètement dans l’ombre a vu ses tactiques et ses procédures exposées par des chercheurs qui ont suivi les récentes cyberattaques menées par les pirates.
Le groupe de piratage s’appelle « Karakurt » et est un acteur de la menace motivé financièrement qui a intensifié ses cyberattaques au troisième trimestre 2021.
Les premiers signes d’activité de Karakurt ont été identifiés en juin 2021, avec l’enregistrement de deux domaines et la création d’un compte Twitter.
Source : Accenture
Les acteurs se concentrent presque exclusivement sur l’exfiltration et l’extorsion de données et n’utilisent pas de ransomware pour verrouiller les fichiers de leurs victimes.
Le rapport sur Karakurt provient de chercheurs d’Accenture Security, qui ont réussi à suivre les tactiques, les outils et les techniques d’intrusion du groupe « vivre de la terre ».
Le groupe menaçant prétend avoir compromis plus de 40 victimes entre septembre et novembre 2021 et a publié des packs de fichiers volés téléchargeables sur ses sites.
Source : Accenture
Environ 95% de ces victimes sont basées en Amérique du Nord, tandis que les autres sont des entités européennes. Karakurt ne se concentre pas sur une industrie en particulier, la victimologie semble donc aléatoire.
Source : Accenture
Entrée, escalade et exfiltration
L’acteur utilise principalement les informations d’identification VPN pour obtenir un accès initial au réseau d’une victime, soit en les achetant auprès de vendeurs, soit en les hameçonnant eux-mêmes.
La persistance est établie en abandonnant l’outil d’accès à distance Cobalt Strike, largement abusé, bien que, lors d’attaques récentes, Karakurt soit passé à l’utilisation d’AnyDesk.
Les balises Cobalt Strike étant de plus en plus détectées par les logiciels de sécurité, AnyDesk est devenu de plus en plus populaire parmi les acteurs de la menace, tels que le gang de ransomware Conti.
Ensuite, l’acteur vole des informations d’identification supplémentaires appartenant aux administrateurs en utilisant Mimikatz et les utilise pour une élévation de privilèges indétectable.
« Lors d’une intrusion, Accenture Security a également observé que le groupe de menaces évitait l’utilisation d’outils de post-exploitation courants ou de logiciels malveillants de base en faveur de l’accès aux informations d’identification », a expliqué le rapport de Accenture.
« Cette approche lui a permis d’échapper à la détection et de contourner les outils de sécurité tels que les solutions communes de détection et de réponse aux points de terminaison (EDR).
Pour l’exfiltration des données, Karakurt utilise 7zip et WinZip pour compresser les fichiers, puis envoie le tout à Mega.io via Rclone ou FileZilla.
Attaques sans cryptage
Bien que ces attaques semblent moins dommageables que les infections par ransomware qui cryptent les données et effacent les sauvegardes, elles peuvent toujours être très préjudiciables.
Menacer la publication de fichiers volés peut mettre une entreprise à genoux, même si son état opérationnel reste inchangé, avec moins de frais généraux impliqués dans la conduite d’attaques.
Pour cette raison, de nouveaux groupes de piratage comme SnapMC se concentrent uniquement sur l’exfiltration et l’extorsion de données comme modèle de menace.
Cependant, payer une rançon ne garantit pas que les acteurs malveillants effaceront les données volées ou qu’elles ne seront pas vendues à d’autres, il n’est donc jamais sage de payer une rançon uniquement pour empêcher une violation de données.
Au lieu de cela, les organisations doivent se concentrer sur des mesures de défense, de prévention et de détection pour maintenir ces menaces hors de leurs réseaux.