Un grupo sofisticado de ciberdelincuencia que ha estado trabajando silenciosamente desde las sombras ha visto sus tácticas y procedimientos expuestos por investigadores que rastrearon ciberataques recientes llevados a cabo por los piratas informáticos. Este grupo de piratería se llama a sí mismo ‘Karakurt’ y es un actor de amenazas con motivaciones financieras que ha intensificado sus ciberataques en el tercer trimestre de 2021.
Los primeros signos de actividad de Karakurt se identificaron en junio de 2021, con el registro de dos dominios y la creación de un identificador de Twitter. Además estos actores se centran exclusivamente en la exfiltración y extorsión de datos y no utilizan ransomware para bloquear los archivos de sus víctimas.
Cabe destacar que en el informe sobre Karakurt proviene de investigadores de Accenture Security, quienes lograron rastrear las tácticas, el conjunto de herramientas y las técnicas de intrusión del grupo. Estos, afirman haber comprometido a más de 40 víctimas entre septiembre y noviembre de 2021 y ha publicado paquetes de archivos robados descargables en sus sitios.
Se sabe que el grupo de amenazas usa AnyDesk u otras herramientas de administración remota disponibles, protocolo de escritorio remoto (RDP), Cobalt Strike, comandos de PowerShell y credenciales válidas tomadas desde el acceso inicial para moverse lateralmente. Además, se ha visto que el grupo de amenazas utiliza 7zip y WinZip para la compresión, así como Rclone o FileZilla (SFTP) para la puesta en escena y la exfiltración final al almacenamiento en la nube Mega.io.
Debido a estos y muchos otros grupos de amenazas, además de los que pueden surgir en un futuro, seria interesante tomar medidas de seguridad para proteger tu seguridad y la de tu empresa.
