研究人員表示：根據他們的研究調查結果發現，Karakurt網絡犯罪集團與另外兩個備受矚目的勒索軟件組織之間存在財務以及技術聯系。這一現象表明網絡威脅者的業務運營模式發生了變化，威脅行為者以受害者為目標的攻擊幾率將會大幅擴大。

Karakurt是去年夏天首次被發現的出于經濟動機而進行網絡威脅行為的組織。根據Tetra Defense的研究人員和Chainalysis公司在周五發布的一份報告中，其與Conti和Diavol、Artic Wolf等網絡威脅組織被一同披露。報告顯示，研究人員使用基于法務公司的威脅情報和區塊鏈的技術分析發現，可以確信的是，獨立運營的兩個勒索軟件集團現已成為不斷發展的Karakurt網絡的一部分。他們認為，Karakurt和Conti之間的關系似乎特別牢固，前者正在源源不斷地使用后者的資源。

研究人員表示Karakurt究竟是Cont和Diavol精心發展的下級組織，還是被整個組織認可的企業，還有待觀察。但可以肯定的是，這種組織之間的聯系也許解釋了為什么Karakurt的競爭對手正在緩緩的消亡，但是它卻依然能夠在弱肉強食的網絡世界中生存下來并發展良好。

不斷拓寬的網絡

在某些層面上，該項調查結果的意義重大。其一，這些組織間的鏈接似乎顯示Karakurt正在與勒索軟件展開合作，而在去年首次發現該勒索組織時似乎并非如此。Karakurt該團體的名字來自東歐和西伯利亞常見的毒蜘蛛，最初僅表現出對數據泄露以及之后敲詐勒索的興趣，而不是以打造勒索軟件作為使命。這以特點使得其能夠快速攻擊目標。事實上，在它運營的頭幾個月里，Karakurt已經攻擊了40名受害者，其中95%在北美，其余在歐洲。

研究人員表示，通過與勒索軟件集團的合作，Karakurt顯然正在擴大其“業務范圍”。同時研究人員也表示，此舉似乎同樣有利于Conti，這也代表了該團體戰術的轉變。報告稱，Conti之前對受害者做出了“承諾”，即如果受害者及時向該團體支付贖金，他們則將永遠不會成為未來被襲擊的目標。然而，Tetra Defense在一名客戶的案件中上發現了Karakurt和Conti之間的聯系，即該客戶聲稱在成為Conti的受害者并支付贖金后，便再次受到敲詐勒索。

研究人員發現，第二次敲詐勒索來自一個未知的群體，該群體竊取數據，但沒有使用加密來這樣做，這似乎是Karakurt慣用的工作方式。此外他們還表示，Karakurt似乎沒有刪除它竊取的數據，這似乎也違背了Conti對受害者的承諾。

巧合的是，這一客戶的特定事件發生在Conti發展最為艱難時期。當時Conti公司正在與心懷不滿的關聯公司作斗爭，這些附屬公司希望獲得更多報酬，其中一人泄露了Conti的勒索步驟以及培訓材料，從而激怒了該團體。研究人員推測，對兩個網絡犯罪集團來說，建立聯系將是一個互利的情景，并且他們也發現了這一聯系背后的財務、技術和其他證據。

二者之間聯系的證明

該報告顯示，研究人員通過在技術方面創建Karakurt入侵的數據集，觀察到Karakurt和Conti之間具有十幾個相似之處。研究人員寫道：雖然Karakurt攻擊在工具方面可能有所不同，但一些Karakurt入侵和早些時候涉嫌與Conti相關的再勒索之間開始出現一些明顯的重疊。他們經研究認為，這些重疊之處包括將Fortinet SSL VPN用于初始入侵點；使用相同的工具進行泄露；在受害者環境中創建和留下名為“file-tree.txt”的泄露數據文件列表的“獨特的對手選擇”；以及在遠程訪問受害者網絡時反復使用相同的攻擊者主機名。

該報告還顯示，Tetra研究人員與Chainalysis及其區塊鏈分析團隊合作，分析Conti和Karakurt進行的加密貨幣交易，而這些交易揭示了兩者之間的財務聯系。研究人員表示：區塊鏈分析提供的一些最早跡象也表明了Karakurt與Conti勒索軟件的聯系，因為Karakurt和Conti之間相關的交易早于發現二者在軟件和攻擊策略的相似之處。

具體而言，Chainalysis確定了屬于Karakurt的數十個加密貨幣地址，分散在多個錢包中，而受害者支付的加密貨幣價值從4.5萬美元到100萬美元不等。并且在他們的分析中，研究人員迅速觀察到Karakurt錢包向Conti錢包發送了大量加密貨幣——例如，Karakurt的勒索錢包將11.36比特幣（即轉賬時約為472,000美元）轉移到了Conti錢包。他們指出，Chainalysis還發現Conti和Karakurt受害者付款地址之間的共享錢包托管，而這一現象幾乎毫無疑問地表明Conti和Karakurt是由同一個個人或團體部署的。

與Diavol組織的聯系

Tetra研究人員還觀察到Karakurt和Diavol勒索軟件集團之間共享工具和基礎設施的使用，這一情況的發生也與他們廣泛使用的危險的特洛伊木馬病毒TrickBot有關。研究人員表示，具體而言，通過今年2月至3月期間泄露的Jabber聊天記錄證實，Karakurt和Diavol運營商確實在同一時期共享攻擊者基礎設施。

另外，通過區塊鏈分析還證實了Diavol與Karakurt和Conti的聯系，表明Diavol和Karakurt勒索地址由Conti錢包托管。由此研究人員得到最終的定論即：這種共同的地址所有權幾乎完全肯定地證實了Diavol是由Conti和Karakurt背后的相同行為者部署的。

本文翻譯自：https://threatpost.com/karakurt-conti-diavol-ransomware/179317/如若轉載，請注明原文地址。