La Agencia de Ciberseguridad y Seguridad de Infraestructura de E.U. (CISA) ha emitido una alerta de seguridad sobre Karakurt, un grupo cibercriminal de extorsión que extrae datos de las organizaciones afectadas y amenaza con venderlos o filtrarlos en dark web si las víctimas no pagan un rescate.
Esta operación maliciosa se caracteriza por no usar malware durante sus intrusiones, contrario a prácticamente cualquier otro grupo de extorsión. Los rescates exigidos por Karakurt van desde los $25,000 hasta los $13 millones, y siempre se debe realizar el pago a través de Bitcoin.
Al contactar a sus víctimas, los hackers enviaban capturas de pantalla o copias de archivos robados para demostrar que el ataque era real, además de compartir detalles sobre el método de intrusión empleado. Los operadores de Karakurt también acosan a los empleados, socios y clientes de las compañías afectadas, en un intento por forzar el pago del rescate.
En los casos más críticos, los hackers filtran pequeñas muestras de la información robada, incluyendo detalles confidenciales como nombres completos, números de seguridad social, números telefónicos, historiales médicos y más registros sensibles.
Karakurt había comenzado como una agrupación de filtraciones y subastas en dark web, aunque el dominio utilizado para sus operaciones fue desconectado hace un par de meses. Para inicios de mayo, el nuevo sitio web de Karakurt contenía varios terabytes de datos presuntamente pertenecientes a víctimas en América del Norte y Europa, además de una lista de supuestas víctimas.
Otro rasgo característico de Karakurt es que no se enfocan solamente en un tipo específico de víctima, ya que simplemente basan sus ataques en la posibilidad de acceder a las redes comprometidas. Para sus ataques, los hackers pueden usar mecanismos poco protegidos y debilidades de infraestructura, o bien colaborar con otros grupos cibercriminales para obtener acceso inicial al objetivo. Acorde a CISA, comúnmente los hackers obtienen acceso a las redes comprometidas explotando dispositivos SonicWall VPN o Fortinet FortiGate si actualizaciones u obsoletos, empleando fallas populares como Log4Shell o errores en Microsoft Windows Server.
Según un informe de la firma de seguridad AdvIntel, Karakurt es parte de la red Conti, que opera como un grupo autónomo junto con Black Basta y BlackByte, otros dos grupos que dependen del robo de datos y la extorsión con fines de monetización.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad