[[440420]]

據(jù)The hacker news消息，2021年9月至11月期間，埃森哲發(fā)現(xiàn)一個(gè)此前未被記錄在案的新型黑客組織，該組織被發(fā)現(xiàn)與40多起數(shù)據(jù)盜竊和勒索攻擊事件有關(guān)。

根據(jù)埃森哲12月10日發(fā)布報(bào)告稱，該黑客團(tuán)體自稱為Karakurt，于2021年6月首次被發(fā)現(xiàn)，能夠根據(jù)目標(biāo)環(huán)境的變化修改其技術(shù)策略。

“該黑客組織以追求利潤最大化為目標(biāo)的投機(jī)主義分子，截至目前，它都以較小的公司為目標(biāo)，這點(diǎn)與其他黑客組織不同。” 埃森哲網(wǎng)絡(luò)調(diào)查、取證和響應(yīng)(CIFR)團(tuán)隊(duì)表示，“從其入侵分析看，Karakurt只關(guān)注數(shù)據(jù)泄露后的勒索，而不是部署更具破壞性的勒索軟件。”

數(shù)據(jù)顯示，受Karakurt勒索攻擊的受害者95%位于北美，剩下5%在歐洲，專業(yè)服務(wù)、醫(yī)療保健、工業(yè)、零售等垂直行業(yè)一直是其最主要的目標(biāo)。

研究人員指出，為了避免引起人們對(duì)其惡意活動(dòng)的注意，Karakurt采用 LotL(Living off the Land)技術(shù)，即攻擊者濫用操作系統(tǒng)組件或安裝的軟件等系統(tǒng)中可用的合法軟件和功能來橫向移動(dòng)和滲出數(shù)據(jù)，而不是部署像Cobalt Strike這樣的后期開發(fā)工具。

(受害者行業(yè)分布圖)

Colonial Pipeline、JBS和Kaseya等勒索攻擊事件的爆發(fā)，執(zhí)法部門也緊隨其后，相繼關(guān)閉DarkSide、BlackMatter和REvil等業(yè)務(wù)，勒索軟件攻擊引起了全世界的關(guān)注。有了“前車之鑒”，Karakurt 似乎正在嘗試不同的攻擊策略。

Karakurt 設(shè)法通過合法的虛擬專用網(wǎng)絡(luò)憑據(jù)來獲得對(duì)目標(biāo)網(wǎng)絡(luò)的初始訪問權(quán)限，之后并未部署勒索軟件，而是專注于竊取數(shù)據(jù)和勒索。這種方法既能使其目標(biāo)業(yè)務(wù)活動(dòng)避免陷入停頓，同樣可以使Karakurt 達(dá)到以“贖金”來換取被盜信息的目的。

為了防止勒索軟件的變體攻擊，研究人員建議，除了在適用的情況下加密靜態(tài)數(shù)據(jù)外，建議組織打開多因素身份驗(yàn)證 (MFA) 以對(duì)帳戶進(jìn)行身份驗(yàn)證，在面向外部的設(shè)備上禁用 RDP，并將基礎(chǔ)設(shè)施更新到最新版本，以防止攻擊者利用未修補(bǔ)系統(tǒng)中的已知漏洞。

參考來源：https://thehackernews.com/2021/12/karakurt-new-emerging-data-theft-and.html