联邦机构警惕新兴数据勒索团伙

关键要点

• Karakurt 是一个不太知名的数据勒索组织，但与较大的黑客团伙有关。
• 该团伙的攻击目标主要是小型美国公司，勒索金额从 $25,000 到 $13,000,000 不等。
• Karakurt 不加密设备，仅盗取数据并威胁公开信息。
• 政府联合发布警报，以防止这一新威胁在网络安全领域引发更大危机。

联邦机构最近对一个鲜为人知的数据勒索团伙表现出关切，该团伙与一个较大且知名的犯罪黑客组织有关。联邦调查局（FBI）、网络安全与基础设施安全局，以及财政部本周联合发出警报，详细介绍了名为
Karakurt 的小型团伙的运营情况。尽管该团伙名不见经传，然而却已对企业以及其他组织的防护与缓解工作造成了“显著挑战”。

根据各个机构的报告，Karakurt的攻击目标似乎没有特定性——这并不奇怪，因为许多勒索软件和数据勒索组织都是为了识别并攻击互联网上的脆弱或未修补资产，无论其属于何种行业或公司。

“Karakurt 主要针对美国的小型公司或其子公司，尽管他们也攻击了加拿大、英国和德国的组织，” Digital Shadows 的高级网络威胁情报分析师
Ivan Righi 说道。

不同于勒索软件团伙，Karakurt 通常不对设备或系统进行加密。他们只是简单地盗取公司的数据，并依赖“二次勒索”（doubleextortion）的另一部分——威胁在线泄露数据，逼迫受害者付款。

勒索金额

最低金额 | 最高金额 | 通常付款方式 | 付款期限
—|—|—|—
$25,000 | $13,000,000 | 比特币 | 一周或更短

他们还以联系受害公司的员工、商业合作伙伴和客户的方式，告知他们数据被盗，并施加压力要求公司付款。

警报意在预防新（但熟悉的）威胁？

不清楚联邦政府为何要特别强调这个团伙。Karakurt 并不特别知名，也没有与此前的高调黑客事件（如 Colonial Pipeline 攻击或 Conti勒索软件的披露）相连。两位勒索软件专家向 SC Media 表示，尽管该团伙的品牌知名度不高，但他们被认为是 Conti 的衍生团伙或合作伙伴。

联合警报并未提及或连接这两个团伙，但来自区块链追踪公司 Chainalysis 和 Tetra Defense 的一份报告上个月认为，Karakurt 与
Conti 和 Diavol 勒索软件团伙在运作上存在联系。

Righi 表示：“Karakurt 用以接收受害者付款的许多加密货币钱包向 Conti 钱包转账。Conti 与 Karakurt之间可能形成了业务关系，或者 Karakurt 是 Conti 的附属业务。”

随着 Conti在今年早些时候“关闭”，许多网络安全观察家很早就预料到该团伙将分裂为更小、更低调的团队，使用不同的品牌。在这种背景下，该警报可能代表美国政府为了预防已知威胁而采取的措施，特别是在该团伙在乌克兰战争后向俄罗斯表示忠诚并威胁攻击美国及西方基础设施之后。

“关于 Karakurt 与 Conti 之间的联系，考虑到 Conti 最近的分裂，可以推测 Karakurt背后的团队可能会加入其中一个小团体，并与该团体共享被盗数据，” Recorded Future 的勒索软件分析师 Allan Liska 表示。“因此，虽然
Karakurt 现在比较安静，但未来我们可能会看到他们的活动。”

Emsisoft 的勒索软件研究