Karakurt警报最新指示，美联储对衍生勒索软件组织感到担忧

联邦机构警惕新兴数据勒索团伙

关键要点

联邦机构最近对一个鲜为人知的数据勒索团伙表现出关切，该团伙与一个较大且知名的犯罪黑客组织有关。联邦调查局FBI、网络安全与基础设施安全局，以及财政部本周联合发出警报，详细介绍了名为 Karakurt 的小型团伙的运营情况。尽管该团伙名不见经传，然而却已对企业以及其他组织的防护与缓解工作造成了“显著挑战”。

根据各个机构的报告，Karakurt 的攻击目标似乎没有特定性这并不奇怪，因为许多勒索软件和数据勒索组织都是为了识别并攻击互联网上的脆弱或未修补资产，无论其属于何种行业或公司。

“Karakurt 主要针对美国的小型公司或其子公司，尽管他们也攻击了加拿大、英国和德国的组织，” Digital Shadows 的高级网络威胁情报分析师 Ivan Righi 说道。

不同于勒索软件团伙，Karakurt 通常不对设备或系统进行加密。他们只是简单地盗取公司的数据，并依赖“二次勒索”double extortion的另一部分威胁在线泄露数据，逼迫受害者付款。

勒索金额

他们还以联系受害公司的员工、商业合作伙伴和客户的方式，告知他们数据被盗，并施加压力要求公司付款。

警报意在预防新但熟悉的威胁？

不清楚联邦政府为何要特别强调这个团伙。Karakurt 并不特别知名，也没有与此前的高调黑客事件如 Colonial Pipeline 攻击或 Conti 勒索软件的披露相连。两位勒索软件专家向 SC Media 表示，尽管该团伙的品牌知名度不高，但他们被认为是 Conti 的衍生团伙或合作伙伴。

联合警报并未提及或连接这两个团伙，但来自区块链追踪公司 Chainalysis 和 Tetra Defense 的一份报告上个月认为，Karakurt 与 Conti 和 Diavol 勒索软件团伙在运作上存在联系。

Righi 表示：“Karakurt 用以接收受害者付款的许多加密货币钱包向 Conti 钱包转账。Conti 与 Karakurt 之间可能形成了业务关系，或者 Karakurt 是 Conti 的附属业务。”

随着 Conti 在今年早些时候“关闭”，许多网络安全观察家很早就预料到该团伙将分裂为更小、更低调的团队，使用不同的品牌。在这种背景下，该警报可能代表美国政府为了预防已知威胁而采取的措施，特别是在该团伙在乌克兰战争后向俄罗斯表示忠诚并威胁攻击美国及西方基础设施之后。

“关于 Karakurt 与 Conti 之间的联系，考虑到 Conti 最近的分裂，可以推测 Karakurt 背后的团队可能会加入其中一个小团体，并与该团体共享被盗数据，” Recorded Future 的勒索软件分析师 Allan Liska 表示。“因此，虽然 Karakurt 现在比较安静，但未来我们可能会看到他们的活动。”

Emsisoft 的勒索软件研究