Các liên kết cho thấy các nhóm tội phạm mạng đang làm việc cùng nhau báo hiệu sự thay đổi trong chiến thuật tương ứng của họ và mở rộng cơ hội để nhắm mục tiêu nạn nhân.
Các nhà nghiên cứu đã tìm thấy mối liên hệ tài chính và công nghệ giữa nhóm tội phạm mạng Karakurt và hai kẻ tấn công ransomware cao cấp báo hiệu sự thay đổi hoạt động kinh doanh và mở rộng cơ hội cho các kẻ đe dọa nhắm vào nạn nhân, họ nói.
Các nhà nghiên cứu từ Tetra Defense, một công ty Artic Wolf và Chainalysis tiết lộ trong một báo cáo được công bố hôm thứ Sáu rằngKarakurt – một nhóm hacker có động cơ tài chính được xác định lần đầu vào mùa hè năm ngoái – giờ dường như đang vướng vào cả nhóm Conti và Diavol.
Họ cho biết, các nhà nghiên cứu đã sử dụng thông tin về mối đe dọa dựa trên pháp y và phân tích blockchain để phát hiện ra rằng hai nhóm ransomware – được cho là hoạt động độc lập – hiện đã trở thành một phần của web Karakurt đang phát triển. Họ nói rằng mối quan hệ giữa Karakurt và Conti tỏ ra rất bền chặt, với việc người trước đang tận dụng nguồn lực của người sau.
Các nhà nghiên cứu cho biết: “Liệu Karakurt có phức tạp do Conti và Diavol hợp tác tấn công hay đây là một doanh nghiệp được tổ chức tổng thể có trừng phạt hay không vẫn còn được xem xét. Những gì chúng ta có thể nói là mối liên hệ này có lẽ giải thích tại sao Karakurt vẫn tồn tại và phát triển mặc dù một số đối thủ cạnh tranh duy nhất của nó đang chết dần chết mòn.”
Mở rộng trang web
Các phát hiện có ý nghĩa vì một số lý do. Một là các liên kết dường như cho thấy Karakurt nắm lấy ransomware, điều này đã không xảy ra khi nó được xác định lần đầu tiên vào năm ngoái.
Nhóm lấy tên từ một loài nhện có nọc độc thường thấy ở Đông Âu và Siberia, ban đầu chỉ quan tâm đến việc đánh cắp dữ liệu và tống tiền sau đó hơn là ransomware, cho phép nó di chuyển nhanh chóng. Trên thực tế, Karakurt đã tìm được 40 nạn nhân, 95% trong số đó ở Bắc Mỹ và phần còn lại ở Châu Âu, trong vài tháng hoạt động đầu tiên.
Các nhà nghiên cứu cho biết, với các liên kết đến các nhóm ransomware, Karakurt rõ ràng đang mở rộng tầm nhìn của mình. Tuy nhiên, động thái này dường như cũng mang lại lợi ích cho Conti, thể hiện sự thay đổi trong chiến thuật của nhóm đó, các nhà nghiên cứu cho biết.
Conti trước đây đã hoạt động trên một “cam kết tiêu chuẩn” với các nạn nhân rằng nếu họ trả tiền chuộc cho nhóm, họ sẽ không bị nhắm mục tiêu trong các cuộc tấn công trong tương lai, theo báo cáo. Tuy nhiên, Tetra Defense ban đầu phát hiện ra mối liên hệ giữa Karakurt và Conti khi một khách hàng tuyên bố đã bị tấn công bởi một âm mưu tống tiền khác sau khi trở thành nạn nhân của Conti và trả tiền đòi tiền chuộc.
Nỗ lực thứ hai đó là từ một nhóm không xác định đã đánh cắp dữ liệu nhưng không sử dụng mã hóa để làm như vậy — hoạt động của Karakurt, các nhà nghiên cứu tìm thấy. Hơn nữa, Karakurt dường như không xóa dữ liệu mà nó đánh cắp, điều này dường như cũng phản bác lại lời hứa của Conti với các nạn nhân.
Thật trùng hợp, sự cố khách hàng cụ thể đó xảy ra trong thời gian khó khăn đối với Conti, người đang vật lộn với các chi nhánh bất mãn muốn được trả nhiều hơn, một trong số họ đã kích động nhóm bằng cách làm rò rỉ sách vở và tài liệu đào tạo của Conti. Các nhà nghiên cứu phỏng đoán rằng liên kết sẽ là một kịch bản cùng có lợi cho cả hai nhóm tội phạm mạng và tìm thấy bằng chứng tài chính, công nghệ và các bằng chứng khác về mối liên hệ.
Bằng chứng về liên kết giữa các nhóm
Về mặt công nghệ, các nhà nghiên cứu đã quan sát thấy những điểm tương đồng giữa Karakurt và Conti bằng cách tạo ra một tập dữ liệu về các cuộc xâm nhập của Karakurt, trong đó họ đã quan sát được hơn một tá, họ nói.
Các nhà nghiên cứu viết: “Mặc dù các cuộc tấn công Karakurt có thể khác nhau đối với các công cụ, nhưng một số chồng chéo đáng chú ý đã bắt đầu xuất hiện giữa một số cuộc xâm nhập của Karakurt và vụ tống tiền lại nghi ngờ liên quan đến Conti trước đó,” các nhà nghiên cứu viết.
Họ viết rằng chúng bao gồm việc sử dụng Fortinet SSL VPN cho điểm xâm nhập ban đầu; việc sử dụng các công cụ giống nhau để lọc; “Một lựa chọn duy nhất của kẻ thù” để tạo và để lại một danh sách tệp dữ liệu được lọc ra có tên “file-tree.txt” trong môi trường của nạn nhân; và việc sử dụng lặp lại cùng một tên máy chủ của kẻ tấn công khi truy cập từ xa vào mạng của nạn nhân.
Các nhà nghiên cứu của Tetra cũng đã làm việc với Chainalysis và nhóm phân tích blockchain của nó, để phân tích các giao dịch tiền điện tử được thực hiện bởi Conti và Karakurt, điều này tiết lộ mối liên hệ tài chính giữa hai người, họ cho biết.
Họ nói: “Phân tích chuỗi khối đã cung cấp một số dấu hiệu sớm nhất về mối quan hệ của Karakurt với ransomware Conti, vì các giao dịch có liên quan giúp phát hiện ra những điểm tương đồng trong chiến lược tấn công và phần mềm của Karakurt và Conti.”
Cụ thể, Chainalysis đã xác định được hàng chục địa chỉ tiền điện tử thuộc về Karakurt, nằm rải rác trên nhiều ví với khoản thanh toán cho nạn nhân từ 45.000 đô la đến 1 triệu đô la tiền điện tử.
Trong phân tích của họ, các nhà nghiên cứu đã nhanh chóng quan sát thấy ví Karakurt gửi một lượng đáng kể tiền điện tử đến ví Conti — trong một trường hợp, ví dụ: ví tống tiền của Karakurt đã chuyển 11,36 Bitcoin, tương đương khoảng 472.000 USD tại thời điểm chuyển, sang ví Conti, họ cho biết.
Chainalysis cũng phát hiện ra việc lưu trữ ví được chia sẻ giữa cả địa chỉ thanh toán của nạn nhân Conti và Karakurt, khiến “hầu như không có nghi ngờ rằng Conti và Karakurt được triển khai bởi cùng một cá nhân hoặc một nhóm,” các nhà nghiên cứu lưu ý.
Liên kết với Diavol
Các nhà nghiên cứu Tetra cũng quan sát thấy việc sử dụng các công cụ và cơ sở hạ tầng được chia sẻ giữa Karakurt và nhóm ransomware Diavol, cũng có liên quan đến loại trojan TrickBot nguy hiểm và được sử dụng rộng rãi.
Cụ thể, rò rỉ từ các cuộc trò chuyện của Jabber từ tháng 2 đến tháng 3 năm nay xác nhận rằng các nhà khai thác Karakurt và Diavol đã chia sẻ cơ sở hạ tầng của kẻ tấn công trong cùng một khoảng thời gian, các nhà nghiên cứu cho biết.
Hơn nữa, phân tích blockchain cũng xác nhận kết nối của Diavol với Karakurt và Conti, cho thấy rằng các địa chỉ tống tiền Diavol và Karakurt đang được lưu trữ bởi ví Conti, họ nói.
Các nhà nghiên cứu viết: “Một lần nữa, quyền sở hữu địa chỉ chung này xác nhận gần như hoàn toàn chắc chắn rằng Diavol được triển khai bởi cùng các tác nhân đằng sau Conti và Karakurt.”
Vina Aspire là đơn vị tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn: https://threatpost.com/karakurt-conti-diavol-ransomware/179317/
