De FBI, het Cybersecurity and Infrastructure Security Agency en verschillende andere Amerikaanse overheidsdiensten hebben een waarschuwing afgegeven voor een groep criminelen genaamd Karakurt die organisaties en bedrijven met gestolen data afperst. De groep weet toegang tot bedrijfsnetwerken te krijgen en maakt daar allerlei gegevens buit. Slachtoffers moeten vervolgens losgeld betalen om publicatie van de data te voorkomen.
Volgens de Amerikaanse autoriteiten weet de groep op verschillende manieren toegang tot netwerken te krijgen. Zo worden gestolen inloggegevens gekocht, wordt er samengewerkt met criminelen die al toegang tot een systeem in de betreffende organisatie hebben of wordt toegang tot bedrijfssystemen via "intrusion brokers" aangeschaft. Ook zou de groep gebruikmaken van bekende kwetsbaarheden, phishing en malafide e-mailbijlagen om binnen te dringen.
Zodra er toegang is verkregen maken de aanvallers gebruik van Cobalt Strike, Mimikatz en AnyDesk om netwerken verder te compromitteren en toegang te behouden. Vervolgens wordt er gebruikgemaakt van archiveringssoftware 7zip om terabytes aan data te comprimeren die daarna via applicaties zoals FileZilla en rclone naar ftp-servers of Mega.nz worden verstuurd.
Na de datadiefstal laat de Karakurt-groep een tekstbericht achter met instructies. Slachtoffers moeten bedragen tussen de 25.000 en dertien miljoen dollar betalen om openbaarmaking van de data te voorkomen. De groep zegt dat het de data na betaling verwijdert, maar sommige slachtoffers melden dat de groep zich hier niet aan houdt. Ook komt het voor dat de groep meer data zegt te hebben gestolen dan het geval is. De FBI adviseert slachtoffers dan ook om het losgeld niet te betalen.
Deze posting is gelocked. Reageren is niet meer mogelijk.