News
Várias agências, entre as quais o FBI e a CISA, lançaram um alerta sobre o grupo Karakurt, que rouba dados confidencias e exige o pagamento de resgate em Bitcoin em troca de não publicar a informação
07/06/2022
O FBI, a CISA e outras agências lançaram um comunicado conjunto a alertar para um grupo cibercriminoso – Karakurt – que está a roubar dados confidenciais às empresas e a exigir resgates de quantias avultadas em troca da eliminação da informação roubada. Segundo o comunicado, o grupo está a assediar os colaboradores, parceiros de negócios e clientes da organização visada num esforço para tornar as tentativas de extorsão o mais eficazes possível. As ações do grupo estão a incidir sobre vítimas na América do Norte e na Europa e os pedidos de resgate variam entre os 25 mil dólares e os 13 milhões em Bitcoin, com um prazo de uma semana para o pagamento antes da publicação da informação vazada. O grupo oferece o que afirmam ser a prova de acesso a redes e dados roubados utilizando screenshots ou cópias de diretórios de ficheiros. Como parte da extorsão, as notas de resgate são enviadas aos funcionários da empresa vítima, com ameaças de publicação das informações roubadas, incluindo registos de emprego, de saúde e registos financeiros de negócios. O maior alerta incide sobre a forma como a campanha do grupo é conduzida: o Karakurt envolve-se em campanhas de assédio intensivas, enviando emails e até fazendo telefonemas para funcionários, parceiros de negócios e clientes com "avisos" de que a empresa precisa de pagar o resgate. Se o resgate for pago, os cibercriminosos fornecem alegadas "provas" de que os ficheiros roubados foram apagados, como uma gravação de ecrã. É de notar que, nos ataques do Karakurt, a informação não é encriptada, apenas roubada. Além de comprar credenciais de login roubadas para ter acesso a redes, outras técnicas comuns do Karakurt incluem a exploração de vulnerabilidades Log4j, emails de phishing com anexos maliciosos para infetar as máquinas com malware, vulnerabilidades sem patches em software VPN e aparelhos de firewall, bem como casos desatualizados do Microsoft Windows Server.
|