新しいカラクルトの脅威アクターは、ランサムウェアではなく恐喝に焦点を当てています

セキュリティ会社のアクセンチュアの研究者は、脅威アクターの世界における新しいビッグネームに関するレポートを公開しました。新しいエンティティはカラクルトと呼ばれ、研究者によると、2021年のわずか数か月で40人以上の犠牲者を獲得することができました。

カラクルトは、トルコ語で「黒」と「オオカミ」を意味するかばん語であり、トルコの家系の名前としても使われています。ヨーロッパの黒い未亡人のクモの別名でもあります。これはセキュリティ研究者によって衣装に付けられた名前ではなく、グループが自分で選んだ名前であることに注意してください。

ランサムウェアを強要しようとする脅威アクター

カラクルトは2021年の半ばに研究者レーダーの赤いブリップとして登場しましたが、過去数か月にわたって活動が大幅に増加しています。アクセンチュアは、脅威アクターを「金銭的に動機付けられた、日和見主義的」であり、「ビッグゲーム」から離れて、より小さなエンティティをターゲットにしているように見えると説明しています。その理由を想像するのはそれほど難しいことではありません。つまり、アフィリエイトの1つが米国のコロニアルパイプラインに対して壊滅的な攻撃を開始し、ダークサイドに信じられないほどの反発をもたらし、脅威アクターの明らかなシャットダウンにつながった後、ダークサイドグループで起こったことの後です。

ほとんどのランサムウェアアクターと同様に、カラクルトは主に米国の地にある企業やエンティティを標的にしており、攻撃全体のわずか5％がヨーロッパの標的を狙っています。ただし、動作モードでのほとんどのランサムウェアとの類似点はここで終わります。カラクルトはランサムウェアギャングではありません。

代わりに、新しい脅威アクターは、より迅速なアプローチに焦点を合わせました。つまり、迅速に出入りし、可能な限り多くの機密データを盗み出し、盗まれた情報に金をゆすります。

アクセンチュアはまた、このアプローチが将来的に脅威アクターの間でますます人気が高まると考えており、ランサムウェアから純粋な「恐喝および恐喝」アプローチへのわずかなシフトと、社会的またはインフラストラクチャの混乱を引き起こさないターゲットへのシフトを期待しています。打つ。

カラクルトの方法とツール

Karakurtは、被害者のネットワークにすでにインストールされているツールとアプリケーションを使用して侵入します。これまでのグループの攻撃への侵入の一般的な方法は、正当なVPNログイン資格情報を使用することでした。しかし、それらがどのようにして得られたのかは明らかではありません。

この時点から、アクセンチュアは、今ではあまりにも馴染みのあるカラクルトの行動の絵を描きます。コマンドアンドコントロール通信用のコバルトストライクビーコンです。ネットワーク間の横方向の移動は、PowerShellからサードパーティの悪意のあるアプリケーションまで、利用可能な任意のツールを使用して実現されます。ハッカーの衣装は、人気のある圧縮ツールを使用して、盗まれたデータをパックしてから、メガドットioに送信して保存します。