Home Gobierno Funcionarios de ciberseguridad de EE.UU. publican un aviso sobre el grupo de...

Funcionarios de ciberseguridad de EE.UU. publican un aviso sobre el grupo de extorsión Karakurt

Un trío de agencias gubernamentales de Estados Unidos, emitió el miércoles un aviso con detalles técnicos relacionados con la banda de extorsión de datos Karakurt, advirtiendo que el grupo ha “empleado una variedad de tácticas, técnicas y procedimientos (TTP), creando desafíos significativos para la defensa y la mitigación.”

Karakurt -también conocido como Karakurt Team o Karakurt Lair- no destruye ni cifra los archivos de las víctimas. En su lugar, el grupo roba datos y amenaza con publicarlos, con peticiones de rescate conocidas que oscilan entre los 25.000 y los 13 millones de dólares en bitcoin, según el aviso publicado conjuntamente por el FBI, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) del Departamento de Seguridad Nacional, el Departamento del Tesoro y la Red de Ejecución de Delitos Financieros del Departamento del Tesoro.

Karakurt forma parte del grupo de ransomware Conti, según informaron en abril varios investigadores de ciberseguridad independientes.

El aviso del miércoles no hace referencia a Conti, pero señala que Karakurt ha extorsionado a víctimas previamente atacadas con otras variantes de ransomware, o al mismo tiempo que las víctimas estaban siendo atacadas por otros actores.

Conti ha sido noticia internacional últimamente tras atacar a más de dos docenas de organismos gubernamentales de Costa Rica a partir del 17 de abril. El Presidente de Costa Rica, Rodrigo Chaves, declaró la emergencia nacional el 8 de mayo como resultado de los ataques, y el Departamento de Estado de EE.UU. anunció una recompensa de 10 millones de dólares por información que conduzca a la identificación y/o localización de cualquier persona que ocupe una “posición de liderazgo clave” dentro de Conti.

Conti, entre las variantes de ransomware más prolíficas y visibles que se remontan a su primera detección en diciembre de 2019, está en proceso de cierre, según la firma de ciberseguridad AdvIntel. El apoyo público del grupo a la invasión rusa de Ucrania dificultó que el grupo cobrara los pagos de rescate como lo había hecho antes.

Aunque el sitio público de filtración de datos del grupo sigue operativo, su infraestructura de fondo fue desmantelada el 19 de mayo y sus principales operadores y afiliados se han dividido en varios grupos, entre ellos Karakurt.