ISH Tecnologia alerta para grupo cibercriminoso leiloando informações sigilosas online

Views: 66
0 0
Read Time:2 Minute, 37 Second

O Karakurt não parece ter como alvo nenhuma indústria, setor ou tipo de vítima específico. Entretanto, a ISH lista algumas vulnerabilidades

A ISH Tecnologia, referência nacional em cibersegurança, alerta para as atividades maliciosas de um novo grupo de extorsão que tem roubado informações sigilosas e exigido altas quantias para o resgate.

Trata-se do “Karakurt”, também conhecido como “Karakurt Team” ou “Karakurt Lair”, que utiliza uma aranha como seu logotipo. A equipe da ISH afirma que o grupo “se diferencia” pelo fato de seus incidentes não relatarem criptografia de arquivos ou perda de máquinas.

Os cibercriminosos entram em contato diretamente com a vítima após o ataque, ameaçando leiloar os dados em fóruns online caso o pagamento não seja feito (o prazo dado tem sido normalmente de uma semana).

O contato inicial dos operadores do Karakurt é feito pelo envio de capturas de tela ou cópias de diretórios de arquivos com exemplos dos dados roubados (como contas de pagamento, números de CPF e CNPJ ou dados comerciais confidenciais de clientes).

A forma de pagamento para o resgate é outra marca registrada do grupo, conforme explica a ISH. A moeda escolhida tem sido o Bitcoin, em valores que variam entre 25 mil e 13 milhões de dólares (mais de 60 milhões de reais). 

Após o pagamento, uma prova de exclusão dos arquivos é enviada ao usuário. Em alguns casos, uma breve descrição de como o vazamento ocorreu também é vista.

A perícia da ISH também relata situações em que a extorsão é realizada contra uma vítima anteriormente atacada por outras variantes de ransomware, sugerindo uma “parceria” com outros grupos cibercriminosos e compra/venda de dados.

Previamente a 2022, o Karakurt operava um site de vazamentos e leilões, encontrado em Link. Este domínio e o endereço IP estão fora do ar hoje, o que sugere uma transição do grupo para a deep e dark web.

Em maio, o site continha vários terabytes de dados supostamente pertencentes a vítimas na América do Norte e na Europa, juntamente com “comunicados de imprensa” nomeando vítimas que não pagaram ou cooperaram, e instruções para participar de “leilões” de seus próprios dados.

Vetores de acesso

O Karakurt não parece ter como alvo nenhuma indústria, setor ou tipo de vítima específico. Entretanto, a ISH lista algumas vulnerabilidades comumente exploradas para início de ataques:

– Dispositivos SonicWall SSL VPN desatualizados

– Técnicas de phishing e spearphishing

– Anexos maliciosos em e-mails 

– Roubo de credenciais em rede privada virtual (VPN)

– Instâncias desatualizadas e/ou inutilizadas do Microsoft Windows Server.

Mitigação e recomendações

Por fim, a ISH lista algumas dicas de procedimentos para evitar incidentes com grupos de extorsão como o Karakurt:

– Implementar um plano de recuperação e reter várias cópias de dados e servidores confidenciais ou proprietários em um local fisicamente separado, segmentado e seguro.

– Backups regulares de dados e proteção com senha das cópias offline.

– Instalar e atualizar regularmente softwares e antivírus.

– Revisar servidores, estações de trabalho e diretórios ativos para contas novas ou não reconhecidas.

– Aplicar autenticação multifator (MFA).

– Não abrir anexos de e-mails suspeitos ou estranhos, principalmente em Word, Excel, PowerPoint ou PDF.

FONTE: CRYPTO ID

Previous post Phishing explode explorando maus hábitos e a curiosidade dos colaboradores
Next post Universidade norte-americana deixa vazar dados de 24 mil estudantes

Deixe um comentário