A ISH Tecnologia, referência nacional em cibersegurança, alerta para as atividades maliciosas de um novo grupo de extorsão que tem roubado informações sigilosas e exigido altas quantias para o resgate.
Trata-se do “Karakurt”, também conhecido como “Karakurt Team” ou “Karakurt Lair”, que utiliza uma aranha como seu logotipo. A equipe da ISH afirma que o grupo “se diferencia” pelo fato de seus incidentes não relatarem criptografia de arquivos ou perda de máquinas. Os cibercriminosos entram em contato diretamente com a vítima após o ataque, ameaçando leiloar os dados em fóruns online caso o pagamento não seja feito (o prazo dado tem sido normalmente de uma semana).
O contato inicial dos operadores do Karakurt é feito pelo envio de capturas de tela ou cópias de diretórios de arquivos com exemplos dos dados roubados (como contas de pagamento, números de CPF e CNPJ ou dados comerciais confidenciais de clientes). A forma de pagamento para o resgate é outra marca registrada do grupo, conforme explica a ISH. A moeda escolhida tem sido o Bitcoin, em valores que variam entre 25 mil e 13 milhões de dólares (mais de 60 milhões de reais).
Após o pagamento, uma prova de exclusão dos arquivos é enviada ao usuário. Em alguns casos, uma breve descrição de como o vazamento ocorreu também é vista. A perícia da ISH também relata situações em que a extorsão é realizada contra uma vítima anteriormente atacada por outras variantes de ransomware, sugerindo uma “parceria” com outros grupos cibercriminosos e compra/venda de dados.
Previamente a 2022, o Karakurt operava um site de vazamentos e leilões, encontrado em Link. Este domínio e o endereço IP estão fora do ar hoje, o que sugere uma transição do grupo para a deep e dark web. Em maio, o site continha vários terabytes de dados supostamente pertencentes a vítimas na América do Norte e na Europa, juntamente com “comunicados de imprensa” nomeando vítimas que não pagaram ou cooperaram, e instruções para participar de “leilões” de seus próprios dados.
Vetores de acesso
O Karakurt não parece ter como alvo nenhuma indústria, setor ou tipo de vítima específico. Entretanto, a ISH lista algumas vulnerabilidades comumente exploradas para início de ataques:
– Dispositivos SonicWall SSL VPN desatualizados
– Técnicas de phishing e spearphishing
– Anexos maliciosos em e-mails
– Roubo de credenciais em rede privada virtual (VPN)
– Instâncias desatualizadas e/ou inutilizadas do Microsoft Windows Server.
Mitigação e recomendações
Por fim, a ISH lista algumas dicas de procedimentos para evitar incidentes com grupos de extorsão como o Karakurt:
– Implementar um plano de recuperação e reter várias cópias de dados e servidores confidenciais ou proprietários em um local fisicamente separado, segmentado e seguro.
– Backups regulares de dados e proteção com senha das cópias offline.
– Instalar e atualizar regularmente softwares e antivírus.
– Revisar servidores, estações de trabalho e diretórios ativos para contas novas ou não reconhecidas.
– Aplicar autenticação multifator (MFA).
– Não abrir anexos de e-mails suspeitos ou estranhos, principalmente em Word, Excel, PowerPoint ou PDF.
