شناسایی گروه هکری Karakurt

کمیته رکن چهارم – گروه هکری که با نام Karakurt فعال است بدون استفاده از نرم‌افزار رمزگذاری فایل، اقدام به باج‌خواهی می‌کند.

محققان شرکت امنیت اطلاعات اکسنچر سکیوریتی (Accenture Security) یک گروه هکری به نام کاراکورت (Karakurt) شناسایی کرده‌اند که دامنه حملات خود را در سه‌ماهه سوم سال جاری گسترش داده است.

اعضای این گروه به دنبال منافع مالی بوده و در ماه ژوئن ۲۰۲۱ زمانی که دو دامنه و صفحه‌ای در توییتر راه‌اندازی کرده‌اند توجه محققان اکسنچر را به خود جلب کرده‌اند.

فعالیت اصلی کاراکورت سرقت اطلاعات و باج‌خواهی بوده و از نرم‌افزار رمزگذاری فایل‌ها استفاده نمی‌کند. کاراکورت از سپتامبر تا نوامبر ۲۰۲۱ شبکه‌های بیش از ۴۰ شرکت را هک و فایل‌های مسروقه را در سایت خود منتشر کرده‌ است.

حدودا ۹۵ درصد از قربانیان این گروه در آمریکای شمالی و بقیه در اروپا واقع‌شده‌اند. کاراکورت به حوزه خاصی علاقه‌مند نبوده و اهدافش را تصادفی انتخاب می‌کند.

مهاجمان برای دسترسی اولیه به شبکه‌های سازمان‌های هدف، عمدتاً از اعتبارنامه‌های وی‌پی‌ان استفاده می‌کنند که از طریق حملات فیشینگ به‌دست‌ می‌آیند یا از فروشندگان خریداری‌ می‌شوند.

به گفته محققان، هکرها قبلا از ابزار کوبالت استرایک برای ماندگاری در سیستم استفاده می‌کردند که اخیراً به ابزار انی‌دسک روی آورده‌اند، چراکه فعالیت‌های آن‌ها از طریق کوبالت استرایک بیش‌ازپیش فاش شده است.

مهاجمان پس از استقرار در شبکه هدف اعتبارنامه‌های اضافی را با استفاده از میمیکتز سرقت می‌کنند و از آن‌ها برای ترفیع امتیازات بهره می‌برند.

اگرچه حملات این گروه نسبت به حملات باج‌افزاری که فایل‌ها را رمزگذاری کرده و نسخه‌های پشتیبان را حذف می‌کنند چندان مخرب به نظر نمی‌رسند، اما همچنان خطرآفرین هستند، چراکه تهدید به انتشار اطلاعات مسروقه می‌تواند پیامدهای جدی برای یک شرکت داشته باشد، حتی اگر عملیات‌های آن توسط باج افزار مختل نشده باشد.

منبع : سایبربان