新的 Karakurt 威脅演員專注於勒索，而不是勒索軟件

安全公司埃森哲 (Accenture) 的研究人員發布了一份關於威脅行為者領域中一個新名字的報告。這個新實體被稱為 Karakurt，據研究人員稱，在 2021 年的短短幾個月內，它已經成功地為 40 多名受害者評分。

Karakurt 是土耳其語中"黑"和"狼"的混合詞，也作為土耳其姓氏出現。它也是歐洲黑寡婦蜘蛛的別稱。應該注意的是，這不是安全研究人員給這家公司起的名字，而是該組織為自己挑選的名字。

威脅演員通過勒索軟件勒索

卡拉庫特在 2021 年年中出現在研究人員雷達上，但在過去幾個月中其活動顯著增加。埃森哲將威脅行為者描述為"出於經濟動機、機會主義"，並且似乎針對較小的實體，遠離"大遊戲"。不難想像為什麼會這樣，在 Darkside 組織的一個附屬機構對美國的 Colonial Pipeline 發起了一場嚴重的攻擊並給 Darkside 帶來了令人難以置信的強烈反對之後，Darkside 組織發生了什麼事，導致威脅行為者的明顯關閉。

與大多數勒索軟件攻擊者類似，Karakurt 主要針對位於美國本土的公司和實體，只有 5% 的攻擊針對歐洲的目標。但是，與大多數勒索軟件在操作模式上的相似之處到此為止。 Karakurt 不是勒索軟件團伙。

相反，新的威脅行為者專注於更快的方法 - 快速進出，盡可能多地洩露敏感數據，然後為被盜信息勒索錢財。

埃森哲還認為，這種方法未來將在威脅行為者中越來越流行，並預計會從勒索軟件略微轉變為純粹的"滲漏和勒索"方法，同時轉向不會造成社會或基礎設施破壞的目標打。

Karakurt 的方法和工具

Karakurt 使用已安裝在受害者網絡上的工具和應用程序進行滲透。迄今為止，該組織攻擊的常見滲透方法是使用合法的 VPN 登錄憑據。然而，這些是如何獲得的尚不清楚。

從這一點開始，埃森哲描繪了卡拉庫特的行動圖，現在大家都太熟悉了——用於指揮和控制通信的Cobalt Strike 信標。使用任何可用工具（從 PowerShell 到第三方惡意應用程序）可以實現跨網絡的橫向移動。黑客組織使用流行的壓縮工具來打包被盜數據，然後將其發送到 mega dot io 進行存儲。