Karakurt

Überblick

Karakurt ist eine reine Daten-Erpressergruppe, die auf eine Verschlüsselung der Systeme ihrer Opfer verzichtet. Mit hoher Sicherheit wird sie als Erpressungssparte der Conti-Ransomware-Gruppe eingeschätzt. Statt Daten zu verschlüsseln, entwendet Karakurt sensible Informationen aus den kompromittierten Netzwerken und übt anschließend Druck auf die Betroffenen aus: Die Gruppe droht damit, die erbeuteten Daten zu versteigern oder zu veröffentlichen, sofern keine Lösegeldzahlung erfolgt. Damit verlagert sich der Erpressungshebel vollständig auf die drohende Offenlegung vertraulicher Daten und den damit verbundenen Reputations- und Vertraulichkeitsschaden. Betroffen sind Einrichtungen unterschiedlicher Branchen, und die Gruppe ist über einen längeren Zeitraum aktiv. Das Vorgehen ohne Verschlüsselung unterscheidet Karakurt von klassischen Ransomware-Gruppen und erschwert die unmittelbare Erkennung, da keine offensichtliche Störung der Systeme durch eine Verschlüsselung auftritt.

Taktiken & Vorgehen

Für den Fernzugriff und die heimliche Steuerung kompromittierter Systeme setzt Karakurt Werkzeuge wie „AnyDesk“, „Ngrok“ und das Angriffsframework „Cobalt Strike“ ein. Zur Erbeutung von Zugangsdaten und zur Ausweitung der Rechte im Netzwerk kommt „Mimikatz“ zum Einsatz, mit dem sich Anmeldeinformationen aus dem Speicher abgreifen lassen. Der eigentliche Datendiebstahl erfolgt über Übertragungswerkzeuge: Mit „RClone“, „FileZilla“ sowie dem Cloud-Speicherdienst „MEGA“ werden die erbeuteten Daten aus den Netzwerken der Opfer abgezogen und ausgeleitet. Dieses Zusammenspiel aus Fernzugriffs-, Anmeldedaten- und Datenexfiltrationswerkzeugen ermöglicht es der Gruppe, Netzwerke zu durchdringen, Berechtigungen auszuweiten und große Datenmengen unbemerkt zu entwenden, ohne die Systeme zu verschlüsseln.

Schutzmaßnahmen

Fernzugriffswerkzeuge wie „AnyDesk“ und Tunneldienste wie „Ngrok“ sollten erkannt und unterbunden werden; nicht autorisierte Fernwartungssoftware ist zu blockieren und Fernzugänge sind streng zu reglementieren. Gegen den Anmeldedaten-Diebstahl mit „Mimikatz“ sollte der Zugriff auf den Speicher privilegierter Prozesse eingeschränkt und überwacht werden. Der Einsatz von „Cobalt Strike“ lässt sich durch Netzwerküberwachung auf typische Steuerungskommunikation aufdecken. Um die Datenexfiltration über „RClone“, „FileZilla“ und den Cloud-Dienst „MEGA“ zu verhindern, sollten ausgehende Datenströme überwacht, ungewöhnlich große Übertragungen erkannt und der Zugriff auf externe Cloud-Speicherdienste eingeschränkt werden.