Recentemente è stato identificato un nuovo attore di minaccia, chiamato Karakurt, che ha colpito diversi obiettivi in diverse aree geografiche. Karakurt appare essere motivato finanziariamente ed essere di natura opportunistica.
Ciò che lo caratterizza è soprattutto il fatto che si concentra esclusivamente sull’esfiltrazione dei dati evitando azioni bloccanti come il rilascio di ransomware.
Indice degli argomenti
Come avviene l’accesso iniziale di Karakurt
Il metodo di accesso iniziale utilizzato da Karakurt consiste nello sfruttare accessi VPN immettendo credenziali legittime.
Tali credenziali vengono probabilmente acquisite mediante canali di terze parti similarmente a molti attori attivi nell’ambito delle estorsioni digitali.
Vittimologia della gang criminale
In accordo alle vittime presenti nel DLS (Data Leak Site) dell’attore, Karakurt ha colpito almeno 40 realtà operanti in diversi settori. È probabile, tuttavia, che questo non sia il numero totale corrente e che esso sia ben più alto.
La matrice degli obiettivi suggerisce che il gruppo non sia concentrato su di uno specifico settore o zona geografica né sulla dimensione del bersaglio che comunque, di solito, rimane contenuta.
Questo, in aggiunta al fatto che il gruppo non sembra essere intenzionato ad utilizzare ransomware nelle sue operazioni, suggerisce la volontà di rimanere quanto più possibile nell’ombra.
Dal totale delle vittime note è possibile inoltre osservare che quasi la totalità di esse ha sede negli Stati Uniti con una piccola percentuale in Europa. Fra quest’ultime risulta anche una società italiana operante nel settore del trasporto logistico.
I settori maggiormente colpiti sono l’healthcare, i servizi professionali e il settore industriale insieme a quello dello sviluppo tecnologico e dell’intrattenimento.
Procedure operative di Karakurt
Come già accennato, il gruppo fa uso di credenziali valide come vettore iniziale e tende a utilizzare il set di strumenti di amministrazione presente nei sistemi vittima per spostarsi lateralmente ed esfiltrare i dati.
È stato tuttavia osservato anche l’utilizzo di strumenti di amministrazione remota come RDP (Remote Desktop Protocol), CobaltStrike e l’esecuzione di script PowerShell per enumerare potenziali documenti sensibili da esfiltrare.
Se Karakurt non riesce a elevare i privilegi utilizzando le credenziali sino a quel momento acquisite, utilizza Mimikatz o PowerShell.
Le pratiche di privilege escalation, infatti, avvengono principalmente mediante l’acquisizione e il riutilizzo di credenziali di sistema/dominio valide. L’utilizzo di strumenti quali Mimikatz o script specifici è limitato probabilmente per tenere bassa la probabilità di rilevamento.
Per le pratiche di esfiltrazione fa uso di strumenti quali 7zip e WinZip (per la compressione dei dati) e Rclone (o FileZilla) per l’esfiltrazione vera e propria.
Il sito remoto di storage dei dati è solitamente identificato nel servizio Mega[.]io.
Il manifesto di Karakurt
Il gruppo si proclama diverso dagli altri in quanto maggiormente “creativo” e fortemente orientato allo studio di tecnologie e aspetti relativi alla sicurezza al fine di migliorare le tecniche di attacco.
Si dice “contrario” al moderno modo di vedere l’hacking come un lavoro di routine dove i framework hanno automatizzato tutto e dove basta “premere un bottone”. Inoltre, aggiungono, “se sei stato vittima di un attacco hacker e di un furto di dati, non avere fretta di incolpare il tuo team di sicurezza, semplicemente non era la loro giornata. Il budget che spendi per l’acquisto di dispositivi di protezione ed anti-malware possono solo complicare il nostro lavoro, non potranno mai proteggerti completamente, ma noi, da parte nostra, amiamo molto i compiti complessi”.
Si definiscono, infine: “Sofisticati. Evasivi. Invasivi. Persistenti”.
Da una rapida analisi riguardo l’esposizione delle vittime presenti nel loro DLS (Data Leak Site), tuttavia, non sembra che, come affermato, Karakurt si rivolga a bersagli particolarmente solidi dal punto di vista cyber. In effetti, ho avuto modo di osservare come la maggior parte di essi soffrisse già di problematiche relative a servizi unpatched (Exchange e VPN) e credenziali di accesso leaked in vendita (VPN/Botnet) su alcuni dei maggiori marketplace Dark/Deep web nei periodi di aprile/maggio 2021. Malgrado ad oggi non posso disporre di evidenze relative ad un loro utilizzo negli attacchi riconducibili al gruppo Karakurt, non è improbabile che ne abbiano tratto vantaggio.
Mitigazione della minaccia
Mitigare la minaccia relativa al gruppo criminale Karakurt non è molto diverso dal farlo per altri team simili.
È consigliabile eseguire e ripetere periodicamente sessioni di training per i dipendenti riguardo i rischi cyber e tenere aggiornata la propria infrastruttura.
Occorre, inoltre, prestare particolare attenzione ai servizi di autenticazione remota: per questi è suggerito adottare sistemi di autenticazione multi-fattore o migrare verso tecnologie zero-trust per l’accesso remoto ai servizi aziendali.
Infine, è importante applicare e mantenere best practice nella mitigazione del rischio derivante da malware, come l’aggiornamento dei motori antivirali e l’applicazione di politiche stringenti per i flussi di traffico in entrata / uscita dal proprio perimetro.
