研究人員表示：根據(jù)他們的研究調(diào)查結(jié)果發(fā)現(xiàn)，Karakurt網(wǎng)絡(luò)犯罪集團(tuán)與另外兩個備受矚目的勒索軟件組織之間存在財務(wù)以及技術(shù)聯(lián)系。這一現(xiàn)象表明網(wǎng)絡(luò)威脅者的業(yè)務(wù)運(yùn)營模式發(fā)生了變化，威脅行為者以受害者為目標(biāo)的攻擊幾率將會大幅擴(kuò)大。

Karakurt是去年夏天首次被發(fā)現(xiàn)的出于經(jīng)濟(jì)動機(jī)而進(jìn)行網(wǎng)絡(luò)威脅行為的組織。根據(jù)Tetra Defense的研究人員和Chainalysis公司在周五發(fā)布的一份報告中，其與Conti和Diavol、Artic Wolf等網(wǎng)絡(luò)威脅組織被一同披露。報告顯示，研究人員使用基于法務(wù)公司的威脅情報和區(qū)塊鏈的技術(shù)分析發(fā)現(xiàn)，可以確信的是，獨(dú)立運(yùn)營的兩個勒索軟件集團(tuán)現(xiàn)已成為不斷發(fā)展的Karakurt網(wǎng)絡(luò)的一部分。他們認(rèn)為，Karakurt和Conti之間的關(guān)系似乎特別牢固，前者正在源源不斷地使用后者的資源。

研究人員表示Karakurt究竟是Cont和Diavol精心發(fā)展的下級組織，還是被整個組織認(rèn)可的企業(yè)，還有待觀察。但可以肯定的是，這種組織之間的聯(lián)系也許解釋了為什么Karakurt的競爭對手正在緩緩的消亡，但是它卻依然能夠在弱肉強(qiáng)食的網(wǎng)絡(luò)世界中生存下來并發(fā)展良好。

不斷拓寬的網(wǎng)絡(luò)

在某些層面上，該項調(diào)查結(jié)果的意義重大。其一，這些組織間的鏈接似乎顯示Karakurt正在與勒索軟件展開合作，而在去年首次發(fā)現(xiàn)該勒索組織時似乎并非如此。Karakurt該團(tuán)體的名字來自東歐和西伯利亞常見的毒蜘蛛，最初僅表現(xiàn)出對數(shù)據(jù)泄露以及之后敲詐勒索的興趣，而不是以打造勒索軟件作為使命。這以特點(diǎn)使得其能夠快速攻擊目標(biāo)。事實(shí)上，在它運(yùn)營的頭幾個月里，Karakurt已經(jīng)攻擊了40名受害者，其中95%在北美，其余在歐洲。

研究人員表示，通過與勒索軟件集團(tuán)的合作，Karakurt顯然正在擴(kuò)大其“業(yè)務(wù)范圍”。同時研究人員也表示，此舉似乎同樣有利于Conti，這也代表了該團(tuán)體戰(zhàn)術(shù)的轉(zhuǎn)變。報告稱，Conti之前對受害者做出了“承諾”，即如果受害者及時向該團(tuán)體支付贖金，他們則將永遠(yuǎn)不會成為未來被襲擊的目標(biāo)。然而，Tetra Defense在一名客戶的案件中上發(fā)現(xiàn)了Karakurt和Conti之間的聯(lián)系，即該客戶聲稱在成為Conti的受害者并支付贖金后，便再次受到敲詐勒索。

研究人員發(fā)現(xiàn)，第二次敲詐勒索來自一個未知的群體，該群體竊取數(shù)據(jù)，但沒有使用加密來這樣做，這似乎是Karakurt慣用的工作方式。此外他們還表示，Karakurt似乎沒有刪除它竊取的數(shù)據(jù)，這似乎也違背了Conti對受害者的承諾。

巧合的是，這一客戶的特定事件發(fā)生在Conti發(fā)展最為艱難時期。當(dāng)時Conti公司正在與心懷不滿的關(guān)聯(lián)公司作斗爭，這些附屬公司希望獲得更多報酬，其中一人泄露了Conti的勒索步驟以及培訓(xùn)材料，從而激怒了該團(tuán)體。研究人員推測，對兩個網(wǎng)絡(luò)犯罪集團(tuán)來說，建立聯(lián)系將是一個互利的情景，并且他們也發(fā)現(xiàn)了這一聯(lián)系背后的財務(wù)、技術(shù)和其他證據(jù)。

二者之間聯(lián)系的證明

該報告顯示，研究人員通過在技術(shù)方面創(chuàng)建Karakurt入侵的數(shù)據(jù)集，觀察到Karakurt和Conti之間具有十幾個相似之處。研究人員寫道：雖然Karakurt攻擊在工具方面可能有所不同，但一些Karakurt入侵和早些時候涉嫌與Conti相關(guān)的再勒索之間開始出現(xiàn)一些明顯的重疊。他們經(jīng)研究認(rèn)為，這些重疊之處包括將Fortinet SSL VPN用于初始入侵點(diǎn)；使用相同的工具進(jìn)行泄露；在受害者環(huán)境中創(chuàng)建和留下名為“file-tree.txt”的泄露數(shù)據(jù)文件列表的“獨(dú)特的對手選擇”；以及在遠(yuǎn)程訪問受害者網(wǎng)絡(luò)時反復(fù)使用相同的攻擊者主機(jī)名。

該報告還顯示，Tetra研究人員與Chainalysis及其區(qū)塊鏈分析團(tuán)隊合作，分析Conti和Karakurt進(jìn)行的加密貨幣交易，而這些交易揭示了兩者之間的財務(wù)聯(lián)系。研究人員表示：區(qū)塊鏈分析提供的一些最早跡象也表明了Karakurt與Conti勒索軟件的聯(lián)系，因?yàn)镵arakurt和Conti之間相關(guān)的交易早于發(fā)現(xiàn)二者在軟件和攻擊策略的相似之處。

具體而言，Chainalysis確定了屬于Karakurt的數(shù)十個加密貨幣地址，分散在多個錢包中，而受害者支付的加密貨幣價值從4.5萬美元到100萬美元不等。并且在他們的分析中，研究人員迅速觀察到Karakurt錢包向Conti錢包發(fā)送了大量加密貨幣——例如，Karakurt的勒索錢包將11.36比特幣（即轉(zhuǎn)賬時約為472,000美元）轉(zhuǎn)移到了Conti錢包。他們指出，Chainalysis還發(fā)現(xiàn)Conti和Karakurt受害者付款地址之間的共享錢包托管，而這一現(xiàn)象幾乎毫無疑問地表明Conti和Karakurt是由同一個個人或團(tuán)體部署的。

與Diavol組織的聯(lián)系

Tetra研究人員還觀察到Karakurt和Diavol勒索軟件集團(tuán)之間共享工具和基礎(chǔ)設(shè)施的使用，這一情況的發(fā)生也與他們廣泛使用的危險的特洛伊木馬病毒TrickBot有關(guān)。研究人員表示，具體而言，通過今年2月至3月期間泄露的Jabber聊天記錄證實(shí)，Karakurt和Diavol運(yùn)營商確實(shí)在同一時期共享攻擊者基礎(chǔ)設(shè)施。

另外，通過區(qū)塊鏈分析還證實(shí)了Diavol與Karakurt和Conti的聯(lián)系，表明Diavol和Karakurt勒索地址由Conti錢包托管。由此研究人員得到最終的定論即：這種共同的地址所有權(quán)幾乎完全肯定地證實(shí)了Diavol是由Conti和Karakurt背后的相同行為者部署的。

本文翻譯自：https://threatpost.com/karakurt-conti-diavol-ransomware/179317/如若轉(zhuǎn)載，請注明原文地址。