bu Karakurt şantaj grubu bir aradan sonra iki kurbanı olduğunu iddia ederek geri döndü.
Veri gaspı grubu, ABD merkezli BT hizmetleri işini hacklediğini iddia etti Büro işleri ve sosyal güvenlik numaralarını çaldı 150 milyon Amerikalı One Corporation’dan.
Bu iddianın gerçekliği henüz doğrulanmamış olsa da, tehdit aktörü geçen yılın en ünlü şantaj çetelerinden biri olarak görüldüğü için şirketlerin kendilerini bağlamaları gerekiyor.
Haber, tehdit aktörünün yer altı kanallarında “Sup hackerlar, Oops. Bir şirketten 150 milyon sosyal güvenlik numarası (ve dob, posta, numara, adres) çaldık.”
“Bu, Birleşik Devletler nüfusunun üçte biri demek. Bu konuda ne yapacağınızı tavsiye edin. Belki birisi iyi bir fiyat teklif etmek ister?
Officeworks, küçük ve orta ölçekli işletmelere hizmet sağlayan bir BT danışmanlık firmasıdır. Karakurt şantaj grubu, şirketin 288 GB verisine erişim elde ettiğini iddia ediyor.
Verilerin, çalışan bilgileri, doğum belgeleri, ehliyetler, mali bilgiler, vergi kayıtları ve ayrıca proje ve mülk bilgileri gibi hassas bilgileri içerdiği bildiriliyor. Şirket, olayla ilgili henüz bir açıklama yapmadı.
Karakurt şantaj grubu nedir?
Karakurt Gaspçı çetesi, şirketlerden zorla para sızdırmak için veri hırsızlığı kullanmasıyla ünlü bir tehdit aktörüdür.
Grup, 25.000 ila 13.000.000 ABD Doları arasında değişen bir Bitcoin fidyesi ödenmedikçe kurbanlarından çalınan verileri kamuya ifşa etmekle ünlüdür. Grup, Haziran 2021’de ilk ortaya çıkışından bu yana Kuzey Amerika ve Avrupa’da faaliyet gösteriyor.
Karakurt aktörleri, çalınan verilere sahip olduklarını göstermek için genellikle çalınan dosya dizinlerinin ekran görüntülerini veya kopyalarını sağlar.
Grup ayrıca mağdurları, çalışanlarını, iş ortaklarını ve müşterilerini taleplerine uymaları için taciz edici e-postalara ve telefon görüşmelerine başvurdu.
Bu e-postalar, sosyal güvenlik numaraları, ödeme hesapları, özel şirket e-postaları ve çalışanlara veya müşterilere ait gizli iş verileri dahil olmak üzere hassas veriler içerir.
Fidye ödendikten sonra, Karakurt aktörlerinin dosyaları sildiği ve ara sıra ilk izinsiz giriş için kısa açıklamalar yaptığı bildiriliyor.
5 Ocak 2022 tarihine kadar Karakurt grubu bir sızıntı ve müzayede sitesi işletiyordu, http[s] [:] //karakurt[.] grup. Ancak web sitesinin alan adı ve IP adresi 2022 baharında çevrimdışı oldu.
Web sitesine artık açık internette erişilemese de, bildirildiğine göre derin ve karanlık ağda ortaya çıktı.
Web sitesi, Kuzey Amerika ve Avrupa kurbanlarından birkaç terabayt çalınan veri içeriyor. Ayrıca, işbirliği yapmayan kurbanların isimlerini veren basın bültenleri ve kurban verileri açık artırmalarına katılma talimatlarını içerir.
Karakurt şantaj örgütünün Kullanma usulü, çalışma şekli
Güvenliği ihlal edilmiş bir sisteme giriş sağladıktan veya erişimi geliştirdikten sonra, Karakurt aktörleri bir ağı taramak için Cobalt Strike işaretlerini yerleştirmek gibi çeşitli taktikler kullanır.
Ardından, düz metin kimlik bilgilerini çıkarmak için Mimikatz’ı kurar, uzun vadeli uzaktan kontrolü güvence altına almak için AnyDesk’i kullanır ve ayrıcalıkları yükseltmek ve ağ içinde yatay olarak hareket etmek için duruma göre diğer araçları uygular.
Ardından, dışarı sızan verileri sıkıştırır (genellikle 7zip kullanarak) ve açık kaynaklı uygulamalar, Filezilla gibi dosya aktarım protokolleri ve rclone ve Mega.nz gibi bulut depolama hizmetleri aracılığıyla, genellikle 1 terabaytı (TB) aşan büyük hacimlerde gönderir.
Siber güvenlik uzmanlarına göre, Karakurt Gasp grubu kötü şöhretli bir Conti fidye yazılımı çetesi alt grubu olarak faaliyet gösteriyor.
Karakurt şantaj grubu ve Conti bağlantısı
Rusya yanlısı bir fidye yazılımı grubu olan Conti, yakın geçmişte oldukça üretken tehdit gruplarından biriydi.
Fidye yazılımı grubunun ölümünün Rusya-Ukrayna savaşıyla bağlantılı olduğuna inanılıyor, ancak bunun doğrudan sebep mi yoksa katkıda bulunan bir faktör mü olduğu net değil.
Savaşın resmi olarak başlamasından sadece dört gün sonra, içeriden biri grubun büyüklüğünü, yapısını ve günlük operasyonlarını ifşa eden on binlerce dahili sohbet kaydını sızdırdı.
Conti fidye yazılımının kaynak kodunun da yer aldığı sızıntı tabuta son çiviyi çaktı. Güvenlik araştırmacıları kısa süre sonra Conti fidye yazılımı ile Karakurt şantaj grubu arasında bir bağlantı keşfetti.
Karakurt’un, başarısız şifreleme saldırılarından para kazanmak için Conti sendikasının bir yan işi olduğu ortaya çıktı.
Conti’nin fidye yazılımı yükü engellendiğinde ve saldırı şifreleme aşamasına geçmediğinde, zaten sızdırılmış olan bilgiler, veri gaspı için Karakurt olarak serbest bırakılır. Bir siber güvenlik şirketi olan Arctic Wolf, onaylanmış Bu bulgu bir raporda.
Daha önce verilerinin kilidini açmak için Conti’ye ödeme yapan bir müşteriyle ilgili bir soruşturma sırasında, müşterinin daha sonra Conti’nin geride bıraktığı bir Cobalt Strike arka kapısı aracılığıyla Karakurt tarafından ihlal edildiğini keşfettiler.
Arctic Wolf’un araştırması, bilgisayar güvenlik hizmeti Tetra Defense, siber güvenlik şirketi Northwave ve blockchain analiz şirketi Chainalysis arasındaki bir işbirliğiydi.
Chainalysis’in araştırması, Conti tarafından kontrol edilen cüzdanlara kripto para birimi gönderen birkaç Karakurt cüzdanını ortaya çıkardı. Araştırmacılar, kurbanlardan gelen ödemelerin 45.000 ila 1 milyon dolar arasında değiştiğini buldu.
Blockchain analitik şirketi ayrıca bir Conti cüzdanı tarafından barındırılan Karakurt kurbanı ödeme adreslerini de buldu ve bu da her iki çetenin de aynı tarafça yönetildiğini gösteriyor.