O Karakurt não parece ter como alvo nenhuma indústria, setor ou tipo de vítima específico. Entretanto, a ISH lista algumas vulnerabilidades
A ISH Tecnologia, referência nacional em cibersegurança, alerta para as atividades maliciosas de um novo grupo de extorsão que tem roubado informações sigilosas e exigido altas quantias para o resgate.
Trata-se do “Karakurt”, também conhecido como “Karakurt Team” ou “Karakurt Lair”, que utiliza uma aranha como seu logotipo. A equipe da ISH afirma que o grupo “se diferencia” pelo fato de seus incidentes não relatarem criptografia de arquivos ou perda de máquinas.
Os cibercriminosos entram em contato diretamente com a vítima após o ataque, ameaçando leiloar os dados em fóruns online caso o pagamento não seja feito (o prazo dado tem sido normalmente de uma semana).
O contato inicial dos operadores do Karakurt é feito pelo envio de capturas de tela ou cópias de diretórios de arquivos com exemplos dos dados roubados (como contas de pagamento, números de CPF e CNPJ ou dados comerciais confidenciais de clientes).
A forma de pagamento para o resgate é outra marca registrada do grupo, conforme explica a ISH. A moeda escolhida tem sido o Bitcoin, em valores que variam entre 25 mil e 13 milhões de dólares (mais de 60 milhões de reais).
Após o pagamento, uma prova de exclusão dos arquivos é enviada ao usuário. Em alguns casos, uma breve descrição de como o vazamento ocorreu também é vista.
A perícia da ISH também relata situações em que a extorsão é realizada contra uma vítima anteriormente atacada por outras variantes de ransomware, sugerindo uma “parceria” com outros grupos cibercriminosos e compra/venda de dados.
Previamente a 2022, o Karakurt operava um site de vazamentos e leilões, encontrado em Link. Este domínio e o endereço IP estão fora do ar hoje, o que sugere uma transição do grupo para a deep e dark web.
Em maio, o site continha vários terabytes de dados supostamente pertencentes a vítimas na América do Norte e na Europa, juntamente com “comunicados de imprensa” nomeando vítimas que não pagaram ou cooperaram, e instruções para participar de “leilões” de seus próprios dados.
Vetores de acesso
O Karakurt não parece ter como alvo nenhuma indústria, setor ou tipo de vítima específico. Entretanto, a ISH lista algumas vulnerabilidades comumente exploradas para início de ataques:
– Dispositivos SonicWall SSL VPN desatualizados
– Técnicas de phishing e spearphishing
– Anexos maliciosos em e-mails
– Roubo de credenciais em rede privada virtual (VPN)
– Instâncias desatualizadas e/ou inutilizadas do Microsoft Windows Server.
Mitigação e recomendações
Por fim, a ISH lista algumas dicas de procedimentos para evitar incidentes com grupos de extorsão como o Karakurt:
– Implementar um plano de recuperação e reter várias cópias de dados e servidores confidenciais ou proprietários em um local fisicamente separado, segmentado e seguro.
– Backups regulares de dados e proteção com senha das cópias offline.
– Instalar e atualizar regularmente softwares e antivírus.
– Revisar servidores, estações de trabalho e diretórios ativos para contas novas ou não reconhecidas.
– Aplicar autenticação multifator (MFA).
– Não abrir anexos de e-mails suspeitos ou estranhos, principalmente em Word, Excel, PowerPoint ou PDF.
Sobre a ISH
A ISH Tecnologia, fundada em 1996, é uma empresa líder nos segmentos de cibersegurança, infraestrutura crítica e nuvens blindadas. Ocupa a 26ª posição no ranking das 250 principais provedoras de serviços de segurança gerenciados do mundo, publicado pela MSSP Alert.
Com mais de 400 profissionais especializados, tem entre seus clientes algumas das maiores empresas do Brasil, incluindo bancos, fintechs, instituições financeiras, varejistas, atacadistas, empresas da área de saúde e órgãos públicos. A matriz fica em Vitória (ES), e a empresa mantém filiais em São Paulo, Rio de Janeiro, Belo Horizonte, Brasília, Curitiba, Goiânia e Pernambuco e subsidiária nos EUA.
ISH Tecnologia alerta para novo grupo de ransomware e “trojan da Páscoa” descobertos em Maio
Como tornar o celular mais seguro? ISH Tecnologia lista 6 dicas proteção de sue aparelho
ISH Tecnologia identifica campanha de phishing distribuída por e-mails falsos de prefeituras