Um grupo de extorsão vem roubando informações sigilosas na internet e exigindo altas quantias para resgate. Conhecido como Karakurt, o coletivo utiliza uma aranha como logotipo e se diferencia pelo fato de suas ações não envolverem criptografia de arquivos ou perda de máquinas. O alerta é da empresa de cibersegurança e proteção de dados ISH Tecnologia.

Segundo a companhia, após o ataque, os cibercriminosos entram em contato direto com a vítima e ameaçam leiloar os dados em fóruns online, caso o pagamento — exigido em bitcoin (outra marca registrada do Karakurt) — não seja feito. O prazo dado é normalmente de sete dias e os valores do resgate variam entre US$ 25 mil e 13 milhões (em torno de R$ 67 milhões na conversão direta).

publicidade

O contato inicial é feito por envio de capturas de tela ou cópias de diretórios de arquivos com as informações sigilosas roubadas — em geral, contas de pagamento, números de CPF e CNPJ ou dados comerciais de clientes. Após o pagamento, uma prova de exclusão dos arquivos é enviada ao usuário. Em alguns casos, uma breve descrição de como o vazamento ocorreu também é vista.

A perícia da ISH também relata situações em que a extorsão é realizada contra uma vítima anteriormente atacada por outras variantes de ransomware, sugerindo uma “parceria” com grupos cibercriminosos e compra/venda de informações sigilosas.

Anteriormente, o Karakurt operava um site de vazamentos e leilões, encontrado em [https://karakurt[.]group]https://karakurt[.]group. O domínio e o endereço IP estão fora do ar, o que sugere uma transição do grupo para a deep e a dark web. Em maio, o site continha vários TBs de dados pertencentes a vítimas na América do Norte e na Europa.

Leia mais:

Mitigação e recomendações

Algumas das vulnerabilidades comumente exploradas pelo Karakurt incluem anexos maliciosos em e-mails, técnicas de phishing e spearphishing e roubo de credenciais em redes privadas virtuais (VPNs).

Para evitar ciberataques, a ISH recomenda a realização de backups regulares de dados e proteção com senha das cópias offline, a instalação e atualização regular de softwares e antivírus, a revisão de servidores, estações de trabalho e diretórios ativos para contas novas (ou não-reconhecidas) e a aplicação de autenticação multifatores. A empresa também orienta a usuários e empresas não abrirem anexos de e-mails suspeitos ou estranhos, principalmente em arquivos Office ou PDF.

Crédito da imagem principal: Elnur/Shutterstock

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!