Karakurt: scopriamo la nuova minaccia

Siamo appena entrati nell’anno nuovo ma ci troviamo già a raccontare una nuova minaccia scoperta negli ultimi giorni del 2021. Questo nuovo gruppo di hacker si fa chiamare Karakurt e si sta occupando di attacchi mirati all’esfiltrazione di dati ed all’estorsione. A differenza dei gruppi di cui parliamo di solito, in questo caso però non si tratterebbe di una estorsione basata sui soliti ransomware.

Alla luce di questa particolarità vediamo come si muove Karakurt e come fare per proteggersi. Innanzitutto, dai dati iniziali sembrerebbero una quarantina le attuali vittime del gruppo hacker, tutte di settori economici diversi, mentre l’obiettivo principale è quello di ottenere denaro. Se dobbiamo però fare una prima lista di settori colpiti possiamo elencare quello industriale, i servizi professionali, la sanità, il settore tecnologico e l’intrattenimento.

Gli attacchi sono stati perpetrati principalmente verso aziende statunitensi, ma qualche vittima è stata contata anche in Europa. Per quel che riguarda l’Italia, al momento solo un’azienda di logistica sembrerebbe essere stata colpita.

Il fatto di non utilizzare software malevoli come i ransomware indica come Karakurt intenda stare il più possibile lontano dai riflettori. Per entrare in possesso dei dati, gli hacker entrano nei sistemi aziendali utilizzando credenziali VPN delle quali si sono appropriati tramite canali web di altri hacker. Sembra poi che, in mancanza di tali dati d’accesso, gli hacker riescano ad avere accesso via RDP e Cobaltstrike, oltre ad eseguire script PowerShell per scoprire quali file estrapolare.

Per estrarre file, cartelle e documenti, Karakurt utilizza invece classici sistemi di compressione quali 7Zip e WinZip, salvando poi tutti i dati su Mega. Una volta riuscito l’attacco, gli hacker ovviamente contatteranno la vittima per chiedere denaro per non pubblicare i dati in chiaro. Tutto questo viene fatto nel più breve tempo possibile, un approccio che, secondo gli esperti, verrà molto seguito nel prossimo futuro.

Questo nuovo gruppo hacker si definisce molto attento a tutte le novità sulla cybersecurity, traendone stimolo per cercare sempre di migliorarsi ed aggirare anche i sistemi più complessi. Tutto sommato, però, sembra anche che le vittime ad oggi colpite da Karakurt fossero obiettivi già abbastanza deboli, con credenziali disponibili in chiaro su tanti canali del deep web.

Per proteggersi da questa nuova minaccia non servono grandi cambiamenti di strategia rispetto a quelli che consigliamo solitamente su questo blog. Innanzitutto è necessario formare i propri dipendenti, come sempre, alla giusta condotta in materia di sicurezza. Il secondo imperativo è quello dell’aggiornamento costante dei sistemi e, soprattutto, del controllo vigile di tutte le potenziali vulnerabilità degli stessi. Siccome gli attacchi di Karakurt nascono da credenziali rubate, è necessario procedere ad una revisione delle politiche d’accesso, inserendo verifiche multi-fattore oppure instaurando una policy di tipo zero trust.

 

Fonti: 1,