来自英国的北极狼安全公司(Arctic Wolf)旗下的数字取证与事件响应团队Tetra Defense 与区块链数据平台Chainalysis 合作,分析了 Karakurt 勒索组织与Conti 和Diavol 勒索软件之间的联系。自2021 年8 月以来,Karakurt 已经攻击了多个行业和至少八个国家或地区的组织机构。而有证据表明,Karakurt 勒索组织在运营模式上与Conti 和Diavol 勒索软件组织存在关联。
1. 背景
2021 年,一位遭到勒索软件二次勒索的客户联系了Tetra Defense安全公司。这位受害者曾遭受到 Conti 勒索软件勒索,并按要求支付了赎金。在第一次勒索发生后,这位客户的系统上发现了一张赎金支付的票据,要求他们额外支付防止数据泄露的“敲诈赎金”。后来,安全研究人员发现了来自另一个未知组织的勒索企图,在这第二次攻击中,他们的数据并没有被加密。
安全研究人员在分析受害者系统时发现,第二个勒索攻击者利用了第一次勒索攻击时Conti 留下的后门来访问受害者的网络系统。该后门是一个Cobalt Strike 后门,这表明第二个入侵者需要访问Conti的 Cobalt Strike 服务器才能获得受害者网络的持久性访问。而非常值得注意的是,此类勒索基础设施的访问权只能通过向Conti 勒索软件组织购买、合作使用或秘密窃取来获得。
这起“二次勒索” 攻击事件发生的时间正好是Conti 组织内部的动荡期。Conti 和他们附属的一个分支机构在分赃问题上产生了分歧。这个分支机构曝光了Conti 勒索软件的操作手册以及培训材料。因此,对这个客户的第二次勒索很可能是该分支机构中的员工私自进行的,目的是从后门访问受害者用户并通过窃取数据获得利益。当然也存在另一种可能:Conti 勒索组织正在进行运营战略转型——通过威胁并敲诈受害者将贩卖他们的数据来实现盈利。
在几天之后,安全研究人员接到了第一个所谓 “Karakurt” 勒索软件的受害者报告。与上一位客户的第二次勒索一样,数据并没有加密,受害者系统上只有一张赎金票据。这表明大量的数据已经被攻击者获取,同时攻击者还向受害者索要泄露数据的赎金。这种敲诈勒索的模式并非 Karakurt 首创,Marketo 等其他勒索软件在早期也使用了类似的数据窃取敲诈策略,Bl@ckt0r 和 Bonaci Group 在同时期也使用了此类策略。然而 Karakurt 似乎比上述 “同行” 都要长寿,安全研究人员在后续的几个月内接到了多起 Karakurt 勒索攻击的报告。
2. 起底 Karakurt
图1:Karakurt 的暗网主页
Karakurt 是一个毒蜘蛛的名字,Karakurt 勒索软件将毒蜘蛛作为了他们组织的 logo。来自暗网数据泄露网站的截图表明,该组织将他们的勒索攻击称之为“毒咬”,唯一的“解药”就是与勒索组织合作并支付赎金。
与过往的勒索攻击中加密受害者数据的典型攻击不同,Karakurt 通过渗透到受害者的系统中窃取敏感数据,威胁受害者发布所窃取的敏感数据来进行敲诈,但不进行任何加密勒索。自 2021 年 8 月首次发现以来,Karakurt 已经攻击了多个行业和至少八个国家/地区的受害者。
图2:Karakurt 受害者的行业分布
图3:Karakurt 受害者的行业分布
通常情况下,Karakurt 会威胁受害者在一个知名暗网网站上发布受害者的数据。近期,Karakurt 发布了不配合要求拒绝支付赎金的受害者名单,并开始兑现发布被盗数据的威胁承诺。
3. Conti 假说
截至目前,Tetra Defense 安全研究人员建立了一个 Karakurt 入侵勒索事件集合,包含了十余起勒索案例。Karakurt 攻击最普遍的入口来自 Fortinet SSL VPN,这也与 Conti 的攻击路径相似。虽然 Karakurt 在工具选择方面与 Conti 虽存在一些不同,但部分 Karakurt 入侵事件和早先怀疑与 Conti 相关的二次勒索事件之间出现了一些显著交集,例如使用相同的工具进行数据渗出。
在一个其中一个勒索攻击事件中,攻击者在受害主机上创建了一个名为 “file-tree.txt” 的数据文件列表。在远程访问受害者主机时,使用了与过往多次事件相同的主机名名称。两者相似点的详情见表 1:
表1:早先待归因的二次敲诈事件和 Karakurt 入侵集合的比较
Conti 二次勒索事件 | Karakurt 勒索事件 | |
入侵起点 | Fortinet SSL VPN | Fortinet SSL VPN |
渗出工具 | WinSCP | WinSCP |
遗留文件列表名称 | “file-tree.txt” | “file-tree.txt” |
攻击者主机名 | 相同 | 相同 |
在受害者主机上的行为 | 数据外渗 | 数据外渗 |
虽然任何的单一证据都不足以说明这两者的联系,但将两次事件的攻击者在完成敲诈勒索攻击过程中的一系列目标和行为选择对比来看,很明显这两类事件之间存在某种联系,即 Conti —— “二次勒索”攻击者 —— Karakurt 之间均存在关联。
此外,分析人员在调查另一个 Karakurt 勒索攻击受害者时,发现这个受害者也曾是 Ryuk 勒索软件的受害者。这成为了 Karakurt 和 Conti 之间的第二处关联。因为 Ryuk 和 Conti 都曾经由 Trickbot 组织进行使用并展现出了显著的技术层面和经济层面的重叠性与关联性。
4. 与 Conti 的财务联系
带着这一系列 Karakurt 和 Conti 之间的关联性线索,Tetra Defence 与 区块链数据平台 Chainalysis 开展了情报合作。通过与 Chainalysis 世界级的区块链分析团队合作,Tetra Defence 基于 Conti 和 Karakurt 进行的加密货币交易,发现了两者之间的经济联系。Chainalysis 确定了几十个属于 Karakurt 的加密货币地址,分散在多个钱包中。受害者向这些地址支付的加密货币价值从 45,000 美元到 100万 美元不等。
图4:Karakurt 向Conti钱包转账的实例
图 4 是 Karakurt 钱包向 Conti 钱包发送大量加密货币的实例,一个 Karakurt 加货币钱包将11.36个比特币(转账时价值约47.2万美元)转移到一个 Conti 钱包。Chainalysis 还发现,几个 Karakurt 受害者被要求的付款地址同时被 Conti 的钱包所托管,如图 5 所示。
图5:Conti 钱包托管的 Karakurt 支付赎金地址
共享钱包这一证据几乎毫无疑问地指明 Conti 和Karakurt 是由同一个人或团体运营的。
5. Diavol 是如何牵扯进来的
Diavol 是另一个大约在同一时间(2021 年 7 月)出现并与 Trickbot 相关联的组织。Tetra Defence 在多个案例中观察到 Diavol与 Karakurt 共享使用了一些工具和基础设施,但 Diavol 与 Conti 都对受害者数据进行了加密,而 Karakurt 却没有。一些过往研究显示,Diavol、Conti 和Ryuk 使用了相同的加载程序。
2022 年 2 月至 2022 年 3 月, Conti Jabber 聊天记录的泄露,进一步揭示了Karakurt与 Conti 与 Diavol 的关联。在泄露的聊天记录中,Stern(Trickbot Group 管理员和 Conti 经理)于 2021 年 7 月上旬写信给 Mango(人事经理),通知另一名成员 Baget 已经完成了 Diavol 加密工具的编写并且成功完成免杀。因此能够确认, Karakurt 和Diavol 运营商在同一时期共享攻击基础设施。
此外,区块链交易信息再次证实了 Diavol 与 Karakurt 和Conti 的紧密关联。与 Karakurt 类似,图 6 显示了 Conti 钱包托管了 Diavol 和 Karakurt 的勒索赎金支付地址。
图6:Conti 的钱包托管了 Diavol 和 Karakurt 的敲诈勒索地址
6. 在 Conti 中的定位
上文揭示了 Conti、Karakurt 和Diavol 之间相对高可信的联系。不论 Karakurt 是如何运行的,它毫无疑问获取了 Conti 的勒索资源,例如访问受害者网络或该组织其他成员使用的工具和攻击基础设施。
而为什么 Conti 会部署像 Karakurt 这样的“准勒索软件”呢?Conti 早先泄露的聊天记录可能会给出答案。早先泄露的 Trickbot Group 经理聊天记录表明,他们对如何使业务模式多样化进行了长期且深入的思考,提出的想法包括:出售泄露的数据或出售访问受害者网络的权限。实际上,运营多个勒索软件增加了这个勒索集团的业务韧性,使得他们的犯罪活动能在执法部门的打压中继续下去。2021 年,当Karakurt 出现时,执法部门对勒索软件采取了前所未有的行动。因此 Conti 管理人员可能已经意识到,使用不加密的敲诈勒索软件可以绕过 “勒索”审查,同时仍能实现其索取财务的目的。
Karakurt 是 Conti 和Diavol 精心策划的副业,亦或是其犯罪活动发展的新趋势还有待观察。当前可以确定的是,Karakurt 的新型攻击策略是其能在各国政府对网络勒索犯罪高压打击下仍然能幸存的原因。然而,从长远看,Karakurt 的这种新策略可能适得其反。因为,他们的二次勒索行为破坏了 Conti 勒索软件对受害者的承诺,即支付要求的赎金将使受害者免受未来的攻击。破坏这种承诺可能会对未来其他的勒索犯罪活动造成影响。
图7:Conti 的勒索信
图 7 红色框部分表明,Conti 会在受害者支付赎金之后,将数据的控制权还给受害者,这也是勒索软件攻击的基础前提。如果受害者知道 Conti可能给了Karakurt重新攻击他们的机会,而且数据实际上不会被删除,那么受害者支付赎金的动机就会大大降低。
参考链接:https://arcticwolf.com/resources/blog/karakurt-web
编辑|游奕哲
审校|何双泽、金矢
本文为CNTIC编译整理,不代表本公众号观点,转载请保留出处与链接。
声明:本文来自国家网络威胁情报共享开放平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。