Karakurt Extortion Group
Karakurt Hacking Team
Karakurt Doxware
Karakurt Ransomware
(хакеры-вымогатели, доксеры, публикаторы) (первоисточник на русском)
Translation into English
Эти хакеры-вымогатели не шифрует данные бизнес-пользователей, но атакуют их ресурсы, похищают данные, а затем требует выкуп, чтобы вернуть файлы, не опубликовав их для всеобщего обозрения. Оригинальное название группы-вымогателей: Karakurt Hacking Team (KHT). Суммы выкупа: от 45000 до 1 миллиона долларов в криптовалюте. Позже исследователи выяснили, что Karakurt может быть связана с Conti Ransomware Group.
---
Информация для идентификации
Активность этой группы хакеров-вымогателей началась с июня 2021 г. и продолжалась в течение года. Пик хакерских атак пришелся на третий квартал. Так, в период с сентября по ноябрь 2021 года от этой группы пострадало более 40 компаний в различных отраслях. Группа KHT нацелена на мелкие предприятия или дочерние компании, а не на крупные корпорации. Большинство известных жертв находятся в Северной Америке (95%), а остальные 5% - в Европе.
Группа хакеров-вымогателей отправляет пострадавшей компании и её клиентам/партнерам персонифицированные сообщения о выкупе. Это может быть файл readme.txt или с другим названием.
Примерное содержание:
We breached your internal network and took control over all of your systems.
---
We exfiltrated anything we wanted 100 GB (including Private & Confidential information, Intellectual Property, Customer Information and most important Your TRADE SECRETS)
Полное содержание записки включает сообщение о том, что компьютер жертвы был взломан командой Каракурт, угрозы публикации или продажи украденных данных на аукционе. Инструкции включают ссылку на TOR-сайт с кодом доступа. После ввода кода доступа на сайте открывается чат поддержки, где жертвы могут договориться с операторам Каракурта об оплате за удаление их данных.
Украденные данные включают информацию, позволяющую установить личность (PII): трудовые книжки, медицинские и финансовые деловые записи. Жертвы в хоже переговоров получают скриншоты, показывающие файловые деревья украденных данных или настоящие копии украденных файлов. Достигнув соглашения с жертвами о цене украденных данных, деятели Каракурта предоставляют им новый биткойн-адрес, на который нужно сделать платеж. Получив выкуп, вымогатели предоставляют доказательства удаления украденных файлов, например, запись экрана удаляемых файлов, журнал удаления или учетные данные для входа жертвы на сервер хранения и самостоятельного удаления своих файлов.
В некоторых подтвержденных случаях группа Karakurt занималась вымогательством у жертв, ранее атакованных другими вымогателями. Мы не знаем наверняка и можем только предположить два различных варианта:
а) группа Karakurt получила (перекупила) украденные данные у других вымогателей, а вторичная утечка украденных данных произошла не по их вине;
б) группа Karakurt еще кому-то передала (продала) данные, за которые получила выкуп.
Группа Karakurt является по сути "всеядной", среди пострадавших различные производства, компании и сервисы, работающие в следующих областях:
Architecture/Design - Архитектура, дизайн
Audit & Accounting - Аудит и бухгалтерский учет
Biotechnology - Биотехнологии
Building & Construction - Строительство зданий
Design - Дизайн
Design Services - Дизайнерские услуги
Energy - Энергетика
Enviromental Services - Экологические услуги
Food & Beverages - Еда и напитки
Food Equipment - Пищевое оборудование
Hospitality - Обслуживание гостей
Industrial - Промышленность
Manufacturing - Производство
Medical Services - Медицинские услуги
Online Retailer - Интернет-магазины
Property Rentals - Аренда недвижимости
Real Estate - Недвижимость
Services - Услуги
Sports - Спорт
Sports Industry - Спортивная индустрия
Technology - Технологии
Transport Logistics - Транспортная логистика
В июне 2021 года хакеры из Karakurt Hacking Team зарегистрировали два домена, а в августе завели страницу в Twitter под ником KarakurtLair. Первоначально было известно, что они не использовали ransomware для шифрования файлов своих жертв, но они крали данные и требовали выкуп, чтобы не публиковать украденные данные.
Изображение с сайта хакеров-вымогателей
Страницы сайта хакеров-вымогателей
Содержание страницы "ABOUT":
We thought for a long time what to write on this page. Since you're here - you've got the point by now, right? You probably think that we are nothing more than another team of online scammers trying to make money. In part, this is probably true, but for us the situation looks different. So how are we different in our opinion? We strongly condemn the low threshold of knowledge required now to implement attacks on commercial networks, hacking turns into a routine work, frameworks have simplified the process to trivial button presses. For our part, we try to approach our work as creatively as possible, improving various techniques and deeply immersing ourselves in the study of products related to modern information security tools. If you've been the victim of a hack and data theft, don't be in a rush to blame your security team, it just wasn't their day. The budgets that you spend on the purchase of protective equipment and software can only complicate our work, they can never completely protect you, but we, for our part, love complex tasks very much.
Now a few words on the case. We do not try to harm your processes, delete your data, destroy your business, at least until you yourself give us a reason. We never attack the same target twice. We always adhere to the agreements we have concluded. We do not bargain, never bargain, never bargain at all. The reason is simple - spending considerable time researching the obtained data, including financial indicators, we always know how much you are able to pay so that you do not have to delay salaries or cancel any projects. We know how long it will take for you. Don't try to deceive us. The final storage points for your data are disconnected from the Internet, so you won't be able to localize them and deny us access to them.
Sofisticated. Evasive. Deep. Persistent.
На момент первичной подготовки статьи на сайте хакеров-вымогателей было 4 пресс-релиза. Зная, что со временем сайт может оказаться недоступен, мы сделали скриншоты страниц сайта. Его содержание выглядит довольно примечательным, благодаря использованным иллюстрациям нидерландского художника Иеронима Босха.
Вот страницы каждого из них.
Сначала мы хотели опубликовать текст, но потом, посоветовавшись с коллегами, решили оставить только скриншоты. Но текст, написанный вымогателями, сам по себе интересен. Вот наш перевод на русский язык некоторой части этого текста.
Уважаемые посетители, клиенты и журналисты.
Рады представить вашему вниманию массу компаний из разных отраслей, которые подверглись взлому...
***
У этих компаний было достаточно времени, чтобы решить свои проблемы, но они предпочли промолчать. Их много раз предупреждали о последствиях.
Тем временем наша компания готовит полный список данных, которые мы получили от каждой жертвы. Вскоре после этого вы сможете детально изучить его и принять решение, заинтересованы ли вы в участии в нашем интернет-аукционе или нет. И да, он существует, и для начала нужно всего 3 участника.
***
Мы всегда стараемся сделать все возможное, чтобы сохранить конфиденциальность компании с самого начала, как будто утечки данных никогда не было. У этих компаний был выбор: держать все в секрете или публично раскрыть. Наши жертвы выше решили быть наказанными.
***
Хотите верьте, хотите нет, но наша команда с самого начала работает в интересах каждой компании. К сожалению, не все компании понимают этот момент. В результате они попадают в наш черный список. Наши уважаемые клиенты, пожалуйста, выберите свою судьбу…
***
Если вас интересует более конкретная информация о компании, не забудьте принять участие в нашем закрытом аукционе. Просто заполните контактную форму, и мы поможем вам зарегистрироваться.
***
Итак, как вы все видите, разнообразие наших жертв непредсказуемо. Любая компания может быть атакована. Некоторые дела будут такими же серьезными, как и их будущие последствия, из-за игнорирования нашего сообщения. На данный момент у нас есть 3 утечки больших данных, которые будут опубликованы отдельно и содержат некоторую интересную информацию.
Пожалуйста, оставайтесь с нами и следите за нашими обновлениями. Наши американские горки ускоряются.
Внимание! Новые элементы, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Вредоносные инструменты, которые используют хакеры-вымогатели, могут распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся доксингу:
Нет специального списка, все зависит от объекта нападения и конкретной цели.
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Инструменты группы:
Сетевые подключения и связи:
Инструменты группы:
KHT сначала использует учётные данные VPN для получения первоначального доступа к сети жертвы. В известных атаках хакеры использовали Cobalt Strike и AnyDesk, а после получения доступа инструменты повышения привилегий, в том числе Mimikatz или PowerShell для кражи ntds.dit, содержащего данные Active Directory. Во время кражи данных группа использовала 7zip и WinZip для сжатия и Rclone или FileZilla (SFTP) для загрузки данных в облачное хранилище Mega.io, а также легитимные инструменты Microsoft.
Сетевые подключения и связи:
Twitter: The Karakurt Team (@KarakurtLair)
URL: hxxxs://karakurt.group/
URL: hxxxs://karakurt.tech/
URL: hxxxs://karakurt.co/
Tor-URL: hxxxs://omx5iqrdbsoitf3q4xexrqw5r5tfw7vp3vl3li3lfo7saabxazshnead.onion
Email: karakurtlair@gmail.com
mark.hubert1986@gmail.com
personal.information.reveal@gmail.com
ripidelfun1986@protonmail.com
gapreappballye1979@protonmail.com
confedicial.datas.download@protonmail.com
armada.mitchell94@protonmail.com
---
BTC: вероятно кошелек новый для каждой жертвы, вот небольшой список:
bc1qfp3ym02dx7m94td4rdaxy08cwyhdamefwqk9hp
bc1qw77uss7stz7y7kkzz7qz9gt7xk7tfet8k30xax
bc1q8ff3lrudpdkuvm3ehq6e27nczm393q9f4ydlgt
bc1qenjstexazw07gugftfz76gh9r4zkhhvc9eeh47
bc1qxfqe0l04cy4qgjx55j4qkkm937yh8sutwhlp4c
bc1qw77uss7stz7y7kkzz7qz9gt7xk7tfet8k30xax
bc1qrtq27tn34pvxaxje4j33g3qzgte0hkwshtq7sq
bc1q25km8usscsra6w2falmtt7wxyga8tnwd5s870g
bc1qta70dm5clfcxp4deqycxjf8l3h4uymzg7g6hn5
bc1qrkcjtdjccpy8t4hcna0v9asyktwyg2fgdmc9al
bc1q3xgr4z53cdaeyn03luhen24xu556y5spvyspt8
bc1q6s0k4l8q9wf3p9wrywf92czrxaf9uvscyqp0fu
bc1qj7aksdmgrnvf4hwjcm5336wg8pcmpegvhzfmhw
bc1qq427hlxpl7agmvffteflrnasxpu7wznjsu02nc
bc1qz9a0nyrqstqdlr64qu8jat03jx5smxfultwpm0
bc1qq9ryhutrprmehapvksmefcr97z2sk3kdycpqtr
bc1qa5v6amyey48dely2zq0g5c6se2keffvnjqm8ms
bc1qx9eu6k3yhtve9n6jtnagza8l2509y7uudwe9f6
bc1qtm6gs5p4nr0y5vugc93wr0vqf2a0q3sjyxw03w
bc1qta70dm5clfcxp4deqycxjf8l3h4uymzg7g6hn5
bc1qx9eu6k3yhtve9n6jtnagza8l2509y7uudwe9f6
bc1qqp73up3xff6jz267n7vm22kd4p952y0mhcd9c8
bc1q3xgr4z53cdaeyn03luhen24xu556y5spvyspt8
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -
Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Новость от 10 января 2022:
Karakurt Hacking Team атакует канадские организации.
Исследование Infinitum IT о связи Conti Ransomware и Karakurt Extortion Group. Ссылка на статью >>
Сообщение от 15 апреля 2022:
Выявлена связь Karakurt Extortion Group с Conti Ransomware Group.
После получения доступа к внутреннему VPS-серверу, которыми управляют киберпреступники, исследователи безопасности обнаружили связь между Conti Ransomware и хакерской группой Karakurt, и считают, что обе группы взаимосвязаны.
---
Для справки: VPS-сервер размещен у провайдера Inferno Solutions, работающего в Украине и в России, который поддерживает анонимные способы оплаты и принимает заказы через соединения VPN и TOR. Юридический адрес компании Inferno Solutions: 22 Brоndesbury Park, Willesden, London, NW6 7DL.
Управление и техническая поддержка предоставляется подставной компанией, которая ведет свою деятельность якобы из России.
Когда файлы шифровальщика Conti Ransomware блокируются и атака не переходит в стадию шифрования, хакеры Karakurt используют похищенную информацию для вымогательства данных через свои сайты.
В отчете компании по кибербезопасности Arctic Wolf говорится, что в ходе расследования дела клиента, который ранее заплатил Conti за разблокировку своих данных, было обнаружено, что указанный клиент был позже взломан группой Karakurt через бэкдор Cobalt Strike, оставленный группой Conti Ransomware.
Компания по анализу блокчейнов Chainalysis обнаружила платёжные адреса жертв Karakurt, размещенные в кошельке Conti, что указывает на то, что обе группы управляются из одного центра.
Диапазон IP-адресов 209.222.98.19 - 209.222.98.255, который по словам исследователей принадлежит хакерам, на самом деле зарегистрирован в Филадельфии (США).
Интересная картина: эти исследования, сами того не желая, доказывают, что
- российский след группы Conti — фиктивный, диалоги переписки хакеров - пустой набор фраз и букв;
- Conti и Karakurt управляются из Великобритании, базируются в США, переводят подконтрольные биткоины на кошельки, которые сливаются в один, который тоже находится в одной из этих стран.
Или придется поверить, что русские хакеры управляют C&C и серверами этих стран как своими собственными, что мало вероятно.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Topic of Support Added later: Write-up, Write-up, Write-up, Alert (AA22-152A)
Thanks: Michael Gillespie (pre info) Andrew Ivanov (article author) Accenture Security, BleepingComputer to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
