据黑客新闻报道,2021年9月至11月期间,埃森哲发现了一个此前未被记录的新型黑客组织。数据盗窃和勒索软件攻击。根据埃森哲12月10日发布的报告,自称Karakurt的黑客组织于2021年6月首次被发现,能够根据目标环境的变化修改其技术策略。埃森哲的网络调查、取证和响应(CIFR)团队表示:“该黑客组织在追求利润最大化方面是投机取巧的,这与迄今为止其他黑客组织以较小的公司为目标不同。”,“从其入侵分析来看,Karakurt只关注数据泄露后的勒索,而不是部署更具破坏性的勒索软件。”数据显示,遭受Karakurt勒索软件攻击的受害者95%位于北美,其余5%位于欧洲,专业服务、医疗保健、工业、零售等垂直行业一直是其主要目标。为了避免引起人们对其恶意活动的注意,Karakurt采用了LotL(LivingofftheLand)技术,攻击者滥用系统中可用的合法软件和功能(例如操作系统组件或已安装的软件)来横向移动和泄露数据,而不是部署CobaltStrike等后期开发工具。(受害行业分布图)随着ColonialPipeline、JBS、Kaseya等勒索软件攻击的爆发,执法部门纷纷效仿,陆续关闭了DarkSide、BlackMatter、REvil等业务。勒索软件攻击已引起全世界的关注。有了“前车之鉴”,卡拉库尔特似乎在尝试另一种进攻策略。Karakurt没有部署勒索软件,而是设法通过合法的虚拟专用网络凭证获得对目标网络的初始访问权限,而不是专注于数据盗窃和勒索。这种方法使Karakurt能够“勒索”被盗信息,同时防止其目标的业务活动陷入停顿。为防止勒索软件变体攻击,研究人员建议组织启用多因素身份验证(MFA)来验证帐户,在面向外部的设备上禁用RDP,此外在适用的情况下加密静态数据,并将基础设施更新到最新版本防止攻击者利用未修补系统中的已知漏洞。参考来源:https://thehackernews.com/2021/12/karakurt-new-emerging-data-theft-and.html
