研究人员表示:根据他们的研究调查结果发现,Karakurt网络犯罪集团与另外两个备受瞩目的勒索软件组织之间存在财务以及技术联系。这一现象表明网络威胁者的业务运营模式发生了变化,威胁行为者以受害者为目标的攻击几率将会大幅扩大。
Karakurt是去年夏天首次被发现的出于经济动机而进行网络威胁行为的组织。根据Tetra Defense的研究人员和Chainalysis公司在周五发布的一份报告中,其与Conti和Diavol、Artic Wolf等网络威胁组织被一同披露。报告显示,研究人员使用基于法务公司的威胁情报和区块链的技术分析发现,可以确信的是,独立运营的两个勒索软件集团现已成为不断发展的Karakurt网络的一部分。他们认为,Karakurt和Conti之间的关系似乎特别牢固,前者正在源源不断地使用后者的资源。
研究人员表示Karakurt究竟是Cont和Diavol精心发展的下级组织,还是被整个组织认可的企业,还有待观察。但可以肯定的是,这种组织之间的联系也许解释了为什么Karakurt的竞争对手正在缓缓的消亡,但是它却依然能够在弱肉强食的网络世界中生存下来并发展良好。
不断拓宽的网络
在某些层面上,该项调查结果的意义重大。其一,这些组织间的链接似乎显示Karakurt正在与勒索软件展开合作,而在去年首次发现该勒索组织时似乎并非如此。Karakurt该团体的名字来自东欧和西伯利亚常见的毒蜘蛛,最初仅表现出对数据泄露以及之后敲诈勒索的兴趣,而不是以打造勒索软件作为使命。这以特点使得其能够快速攻击目标。事实上,在它运营的头几个月里,Karakurt已经攻击了40名受害者,其中95%在北美,其余在欧洲。
研究人员表示,通过与勒索软件集团的合作,Karakurt显然正在扩大其“业务范围”。同时研究人员也表示,此举似乎同样有利于Conti,这也代表了该团体战术的转变。报告称,Conti之前对受害者做出了“承诺”,即如果受害者及时向该团体支付赎金,他们则将永远不会成为未来被袭击的目标。然而,Tetra Defense在一名客户的案件中上发现了Karakurt和Conti之间的联系,即该客户声称在成为Conti的受害者并支付赎金后,便再次受到敲诈勒索。
研究人员发现,第二次敲诈勒索来自一个未知的群体,该群体窃取数据,但没有使用加密来这样做,这似乎是Karakurt惯用的工作方式。此外他们还表示,Karakurt似乎没有删除它窃取的数据,这似乎也违背了Conti对受害者的承诺。
巧合的是,这一客户的特定事件发生在Conti发展最为艰难时期。当时Conti公司正在与心怀不满的关联公司作斗争,这些附属公司希望获得更多报酬,其中一人泄露了Conti的勒索步骤以及培训材料,从而激怒了该团体。研究人员推测,对两个网络犯罪集团来说,建立联系将是一个互利的情景,并且他们也发现了这一联系背后的财务、技术和其他证据。
二者之间联系的证明
该报告显示,研究人员通过在技术方面创建Karakurt入侵的数据集,观察到Karakurt和Conti之间具有十几个相似之处。研究人员写道:虽然Karakurt攻击在工具方面可能有所不同,但一些Karakurt入侵和早些时候涉嫌与Conti相关的再勒索之间开始出现一些明显的重叠。他们经研究认为,这些重叠之处包括将Fortinet SSL VPN用于初始入侵点;使用相同的工具进行泄露;在受害者环境中创建和留下名为“file-tree.txt”的泄露数据文件列表的“独特的对手选择”;以及在远程访问受害者网络时反复使用相同的攻击者主机名。
该报告还显示,Tetra研究人员与Chainalysis及其区块链分析团队合作,分析Conti和Karakurt进行的加密货币交易,而这些交易揭示了两者之间的财务联系。研究人员表示:区块链分析提供的一些最早迹象也表明了Karakurt与Conti勒索软件的联系,因为Karakurt和Conti之间相关的交易早于发现二者在软件和攻击策略的相似之处。
具体而言,Chainalysis确定了属于Karakurt的数十个加密货币地址,分散在多个钱包中,而受害者支付的加密货币价值从4.5万美元到100万美元不等。并且在他们的分析中,研究人员迅速观察到Karakurt钱包向Conti钱包发送了大量加密货币——例如,Karakurt的勒索钱包将11.36比特币(即转账时约为472,000美元)转移到了Conti钱包。他们指出,Chainalysis还发现Conti和Karakurt受害者付款地址之间的共享钱包托管,而这一现象几乎毫无疑问地表明Conti和Karakurt是由同一个个人或团体部署的。
与Diavol组织的联系
Tetra研究人员还观察到Karakurt和Diavol勒索软件集团之间共享工具和基础设施的使用,这一情况的发生也与他们广泛使用的危险的特洛伊木马病毒TrickBot有关。研究人员表示,具体而言,通过今年2月至3月期间泄露的Jabber聊天记录证实,Karakurt和Diavol运营商确实在同一时期共享攻击者基础设施。
另外,通过区块链分析还证实了Diavol与Karakurt和Conti的联系,表明Diavol和Karakurt勒索地址由Conti钱包托管。由此研究人员得到最终的定论即:这种共同的地址所有权几乎完全肯定地证实了Diavol是由Conti和Karakurt背后的相同行为者部署的。
本文翻译自:https://threatpost.com/karakurt-conti-diavol-ransomware/179317/如若转载,请注明原文地址。