新的 Karakurt 威胁演员专注于勒索，而不是勒索软件

安全公司埃森哲 (Accenture) 的研究人员发布了一份关于威胁行为者领域新知名人物的报告。这个新实体名为 Karakurt，据研究人员称，在 2021 年的短短几个月内，它已成功为 40 多名受害者评分。

Karakurt 是土耳其语中"黑"和"狼"的混合词，也作为土耳其姓氏出现。它也是欧洲黑寡妇蜘蛛的别称。应该注意的是，这不是安全研究人员给这家公司起的名字，而是该组织为自己挑选的名字。

威胁演员通过勒索软件勒索

卡拉库特在 2021 年年中出现在研究人员雷达上，但在过去几个月中其活动显着增加。埃森哲将威胁行为者描述为"出于经济动机、机会主义"，并且似乎针对较小的实体，远离"大游戏"。不难想象为什么会这样，在 Darkside 组织的一个附属机构对美国的 Colonial Pipeline 发起了一场严重的攻击并给 Darkside 带来了令人难以置信的强烈反对之后，Darkside 组织发生了什么事，导致威胁行为者的明显关闭。

与大多数勒索软件参与者类似，Karakurt 主要针对位于美国本土的公司和实体，只有 5% 的攻击针对欧洲的目标。但是，与大多数勒索软件在操作模式上的相似之处到此为止。 Karakurt 不是勒索软件团伙。

相反，新的威胁行为者专注于更快的方法 - 快速进出，尽可能多地泄露敏感数据，然后为窃取的信息勒索钱财。

埃森哲还认为，这种方法未来将在威胁行为者中越来越流行，并预计会从勒索软件略微转变为纯粹的"渗漏和勒索"方法，同时转向不会造成社会或基础设施破坏的目标打。

Karakurt 的方法和工具

Karakurt 使用已安装在受害者网络上的工具和应用程序进行渗透。迄今为止，该组织攻击的常见渗透方法是使用合法的 VPN 登录凭据。然而，这些是如何获得的尚不清楚。

从这一点开始，埃森哲描绘了卡拉库特的行动图，现在大家都太熟悉了——用于指挥和控制通信的Cobalt Strike 信标。使用任何可用工具（从 PowerShell 到第三方恶意应用程序）可以实现跨网络的横向移动。黑客组织使用流行的压缩工具来打包被盗数据，然后将其发送到 mega dot io 进行存储。