Karakurt：一个新兴数据盗窃和网络勒索黑客组织

一个以前没有记录的，出于经济动机的威胁组织与2021年9月至11月期间对40多个实体的一系列数据盗窃和勒索攻击有关。

埃森哲的网络调查、取证和响应（CIFR）团队在12月10日发布的一份报告中表示，该黑客集体自称名为Karakurt，并于2021年6月首次被发现，能够修改其策略和技术以适应目标环境。

"威胁组织在财务上是有动机的，本质上是机会主义的，到目前为止，似乎针对的是较小的公司或公司子公司，而不是替代的大型狩猎方法，"CIFR团队说。"根据迄今为止的入侵分析，威胁组织仅关注数据泄露和随后的勒索，而不是更具破坏性的勒索软件部署。

95%的已知受害者位于北美，其余5%位于欧洲。专业服务、医疗保健、工业、零售、科技和娱乐垂直行业一直是最具针对性的。

研究人员指出，目标是通过依赖陆地生活（LotL）技术来避免引起人们对其恶意活动的注意，其中攻击者滥用系统中可用的合法软件和功能，如操作系统组件或已安装的软件来横向移动和泄露数据，而不是部署像Cobalt Strike这样的开发后工具。

Karakurt
随着勒索软件攻击在针对ColonialPipeline，JBS和Kaseya的事件以及随后的执法行动导致DarkSide，BlackMatter和REvil等行为者关闭其业务之后获得全球关注，Karakurt似乎正在尝试不同的策略。

在通过合法的VPN凭据首次访问受害者面向互联网的系统后，该行为者没有部署勒索软件，而是几乎完全专注于数据泄露和勒索，此举不太可能使目标的业务活动陷入停顿，但使Karakurt能够要求"赎金"以换取被盗信息。

除了在适用的情况下加密静态数据外，建议组织打开多重身份验证 （MFA） 以对帐户进行身份验证，在面向外部的设备上禁用 RDP，并将基础结构更新到最新版本，以防止对手利用具有公开已知漏洞的未修补系统。