FBI, CISA og andre advarer om Karakurt Team, som stjæler data, kræver løsesum i Bitcoin for ikke at offentliggøre dem.
En cyberkriminel bande stjæler følsomme data fra virksomheder og kræver løsesum mod at slette det stjålne information – og de chikanerer ofrets medarbejdere, forretningspartnere og kunder i et forsøg på at gøre afpresningsforsøg lige så effektive som muligt.
EN fælles rådgivning af Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA) og andre agenturer advarer om, at Karakurt-dataafpresningsgruppen forsøger at afpresse millioner fra ofre i hele Nordamerika og Europa.
Kendte krav om løsesum har varieret fra $25.000 til $13.000.000 i Bitcoin, hvor Karakurt har sat en frist på en uge til at betale, før de offentliggør de stjålne oplysninger. Rådgivningen beskriver ikke, hvor mange ofre der har betalt løsesummen.
Sikkerhed
- 8 vaner hos yderst sikre fjernarbejdere
- Sådan finder og fjerner du spyware fra din telefon
- De bedste VPN-tjenester: Hvordan sammenligner top 5?
- Sådan finder du ud af, om du er involveret i et databrud – og hvad du skal gøre nu
Banden tilbyder, hvad de hævder at være bevis for adgang til netværk og stjålne data ved hjælp af skærmbilleder eller kopier af filmapper. Som en del af afpresningskampagnen sendes løsesedler til medarbejdere i offervirksomheden med trusler mod offentliggøre de stjålne oplysninger, herunder ansættelsesjournaler, sundhedsjournaler og finansielle virksomhedsregistre.
SE: Cybersikkerhed: Lad os være taktiske
Men de Karakurt-cyberkriminelle læner sig ikke bare tilbage og venter på, at der kommer en betaling. Ifølge rådgivningen deltager de i omfattende chikanekampagner, sender e-mails og laver endda telefonopkald til medarbejdere, forretningspartnere og kunder med 'advarsler' om, at virksomheden skal betale løsepenge. Det bemærkes, at Karakurt har været kendt for at overdrive, hvor meget data der er blevet stjålet.
Hvis løsesummen betales, fremlægger de cyberkriminelle påstået 'bevis' på, at de stjålne filer er blevet slettet, såsom en skærmoptagelse af sletningen.
Truslerne om at frigive stjålne oplysninger ligner de afpresningsteknikker, som mange bruger ransomware-bander, hvor ud over at kryptere filer, de cyberkriminelle truer med at offentliggøre oplysningerne, hvis der ikke betales løsesum.
I Karakurts angreb bliver informationen ikke krypteret, bare stjålet – med de cyberkriminelle, der håber, at truslen om, at følsom information bliver frigivet, er nok til at få ofrene til at betale.
Men advarslen bemærker, at Karakurt i nogle tilfælde retter sig mod virksomheder, der tidligere er blevet ofre for ransomware-angreb - sandsynligvis har købt de data, der blev stjålet i disse hændelser på det mørke web eller hentet det fra datadumps.
SE: En vindende strategi for cybersikkerhed(ZDNet specialrapport)
Ud over at købe stjålne loginoplysninger for at få adgang til netværk, omfatter andre almindelige indtrængningsteknikker, som Karakurt er kendt for at udnytte, bl.a. Log4j sårbarheder, phishing-e-mails med ondsindede vedhæftede filer designet til at levere malware, uoprettede sårbarheder i VPN-software og firewall-apparater, samt forældede forekomster af Microsoft Windows Server.
Karakurt menes stadig aktivt at udnytte sårbarheder for at målrette virksomheder med afpresningsangreb – men advarslen siger, at der er tiltag, som organisationer kan tage for at afbøde truslen fra afpresningsgrupper, ransomware-bander og andre cyberkriminelle grupper.
De omfatter anvende patches og sikkerhedsopdateringer til kendte sårbarheder at forhindre cyberkriminelle i at udnytte dem og implementere netværkssegmentering med offline backups for at gøre det sværere for ubudne gæster at bevæge sig rundt på netværket.
Det anbefales også, at brugere trænes i at genkende og rapportere forsøg på phishing-angreb, at adgangskoder skal være komplekse og unikke, og at multi-faktor autentificering (MFA) leveres til alle brugere, så i tilfælde af at en cyberkriminel erhverver sig legitime loginoplysninger, er det sværere for dem at udnytte dem til at bryde netværket.
MERE OM CYBERSIKKERHED
- Disse ransomware-angribere sendte deres løsesumseddel til ofrets printer
- DDoS-angreb, der kommer kombineret med krav om afpresning, er stigende
- Dette er, hvad der sker, når to ransomware-bander hacker det samme mål – på samme tid
- Ransomware-ofre betaler. Men så kommer banderne tilbage efter mere
- Ransomware-angreb blev mere end fordoblet sidste år - disse grundlæggende cybersikkerhedsprincipper kan beskytte dig