据研究人员称,他们的调查结果揭示了Karakurt网络犯罪集团与另外两个备受瞩目的勒索软件集团之间的财务和技术联系。这种现象表明网络威胁行为者的商业运作模式正在发生变化,威胁行为者针对受害者的机会将大大增加。Karakurt是一个以经济为动机的网络威胁组织,该组织于去年夏天首次被发现。根据TetraDefense和Chainalysis的研究人员周五发布的一份报告,它与Conti和Diavol、ArticWolf以及其他网络威胁组织一起被披露。报告称,研究人员利用来自律师事务所的威胁情报和基于区块链的技术分析,自信地发现两个独立运作的勒索软件团体现在是不断发展的Karakurt网络的一部分。在他们看来,卡拉库尔特和孔蒂之间的关系似乎特别牢固,前者源源不断地使用后者的资源。研究人员表示,Karakurt是Cont和Diavol精心开发的子集团,还是被整个组织认可的企业,还有待观察。但可以肯定的是,这种组织间的联系或许可以解释为什么卡拉库特的竞争对手在慢慢消亡,但它仍然能够在网络丛林世界中生存和发展。不断扩大的网络这些发现在某些层面上意义重大。首先,这些组织之间的联系似乎表明Karakurt正在使用勒索软件,而去年该组织首次被发现时似乎并非如此。以东欧和西伯利亚常见的毒蜘蛛命名的Karakurt组织最初只对数据泄露和随后的勒索感兴趣,而不是将创建勒索软件作为使命。此功能使其能够快速攻击目标。事实上,在其运作的头几个月,Karakurt已经袭击了40名受害者,其中95%在北美,其余在欧洲。研究人员表示,通过与勒索软件组织合作,Karakurt显然正在扩大其“影响范围”。研究人员表示,此举似乎也有利于孔蒂,也代表了该集团策略的转变。报道称,孔蒂此前曾向受害者“承诺”,如果他们及时向该组织支付赎金,他们将永远不会成为攻击目标。然而,TetraDefense在一名客户声称在成为Conti的受害者并支付赎金后再次遭到勒索的情况下,发现了Karakurt和Conti之间的联系。研究人员发现,第二起勒索来自一个未知的组织,他们窃取数据但没有使用加密技术,这似乎是Karakurt通常的工作方式。此外,他们表示Karakurt似乎没有删除它窃取的数据,这似乎也违反了Conti对受害者的承诺。巧合的是,这起客户事件发生在康蒂发展最艰难的时期。孔蒂公司正在与心怀不满的附属公司进行斗争,这些附属公司希望获得更多报酬,其中之一泄露了孔蒂的勒索步骤和培训材料,激怒了该集团。研究人员推测,建立连接对于两个网络犯罪集团来说是一个互惠互利的场景,他们还找到了连接背后的财务、技术和其他证据。两者之间联系的证明根据该报告,研究人员通过在技术方面创建Karakurt入侵数据集,观察到Karakurt和Conti之间的十几个相似之处。研究人员写道:“虽然Karakurt攻击在工具方面可能有所不同,但在一些Karakurt入侵和早先所谓的与Conti相关的重新勒索之间开始出现一些重要的重叠。”根据他们的研究,这些重叠包括使用FortinetSSLVPN作为初始入侵点;使用相同的工具进行渗透;在受害者环境“独特的对手选择”中创建并留下名为“file-tree.txt”的泄露数据文件列表;并在远程访问受害者网络时重复使用相同的攻击者主机名。该报告还显示,Tetra研究人员与Chainalysis及其区块链分析团队合作,分析了Conti和Karakurt进行的加密货币交易,揭示了两者之间的财务联系。研究人员表示,区块链分析提供的一些最早迹象也表明Karakurt和Conti勒索软件之间存在联系,因为Karakurt和Conti之间的相关交易早于发现软件和攻击策略的相似性。具体来说,Chainalysis确定了属于Karakurt的数十个加密货币地址,分布在多个钱包中,而受害者则使用价值从45,000美元到100万美元不等的加密货币支付。在他们的分析中,研究人员迅速观察到Karakurt钱包向Conti钱包发送了大量加密货币——例如,Karakurt的勒索软件钱包向Conti钱包转移了11.36比特币,约合472,000美元。他们指出,Chainalysis还发现了Conti和Karakurt受害者支付地址之间的共享钱包托管,这一现象无疑表明Conti和Karakurt是由同一个人或团体部署的。与Diavol组织的联系Tetra研究人员还观察到Karakurt和Diavol勒索软件组织之间使用共享工具和基础设施,这也与他们广泛使用危险的特洛伊木马病毒TrickBot有关。研究人员表示,具体而言,Karakurt和Diavol运营商确实在同一时期共享攻击者基础设施,今年2月至3月泄露的Jabber聊天记录证实了这一点。此外,通过区块链分析也证实了Diavol与Karakurt和Conti之间的联系,表明Diavol和Karakurt勒索地址是由Conti钱包托管的。研究人员得出结论,这种共享的地址所有权几乎可以肯定地证实了Diavol是由Conti和Karakurt背后的相同参与者部署的。本文翻译自:https://threatpost.com/karakurt-conti-diavol-ransomware/179317/如有转载请注明出处。
