A Karakurt hackercsoporthoz köthető kriptopénz-tárcák elemzése, valamint az adatlopás sajátos módszertana arra utal, hogy a csoport tagsága átfedésben van két másik kiemelkedő hackercsapattal - derül ki a Tetra Defense kiberbiztonsági cég által közzétett elemzésből.
A Tetra jelentése részletezi egy vállalat tapasztalatait, amelyet a Conti csoport zsarolóvírus-támadása ért, majd ezt követően ismét a Karakurt csoport által elkövetett adatlopás célpontjává vált. Az elemzés kimutatta, hogy a Karakurt-támadás pontosan ugyanazt a hátsó ajtót használta az ügyfél rendszereinek feltörésére, mint a korábbi Conti-támadás.
"Ilyen hozzáférést csak valamilyen vásárlás, kapcsolat vagy a Conti-csoport infrastruktúrájához való rejtett hozzáférés révén lehetett szerezni" - írta jelentésében a Tetra.
A Tetra szerint fontos megkülönböztetni az itt leírt két különböző típusú kibertámadást. A zsarolóvírus-támadás során a kulcsfontosságú adatokat titkosítják, és a zsaroló pénzt a dekódoló kulcsért cserébe fizetik ki, hogy a célvállalat visszaállíthassa adatait és folytathassa működését. Az adatlopásnál, amely a Karakurt csoport által elkövetett támadás típusa, a hackerek érzékeny vállalati adatokat lopnak el, és pénzt követelnek cserébe azért, hogy ne adják ki azokat a nagyvilágnak.
Az ilyen típusú Karakurt-támadások - a Tetra szerint eddig több mint egy tucat ilyen támadás volt - a Conti áldozatainak fizetési címeihez kapcsolódó kriptopénz-tárcákat is használtak, ami tovább erősíti azt az érvet, hogy a két csoport tagsága jelentősen átfedheti egymást.
Nathan Little, a Tetra digitális törvényszéki szakértői és incidensreagálási részlegének vezető alelnöke szerint ez a minta eltér a Conti-csoport szokásos üzleti mintájától.
"Történelmileg azt láttuk, hogy a bűnözők betartják az alkukat" - mondja. "Korábban, amikor ezek az adatlopási támadások 2019-ben kezdődtek, gyakori volt, hogy a vállalatok eléggé megijedtek ahhoz, hogy fizessenek, de nem azért, hogy eltitkolják az incidenst, hanem hogy elkerüljék a következményeket."
Manapság azonban az adatlopások eléggé elterjedtek - és az új szabályozási rendszerek valószínűbbé tették a kötelező közzétételt - ahhoz, hogy a vállalatok kevésbé valószínű, hogy csak azért fizetnének, hogy az adataikat megvédjék.
A Tetra szerint sem ez az egyetlen zavaró dolog a Karakurt-támadásokban. A támadások aláássák az áldozatul esett vállalatok bizalmát abban, hogy nem lesznek többször célpontjai ugyanolyan típusú támadásoknak. A Conti váltságdíjának kifizetése általában viszonylag biztos garanciát jelentett arra, hogy a csoport továbblép, és nem lesznek további támadások. Ha a két csoport kapcsolatban áll egymással, és az áldozatokat közvetve ugyanazok az emberek zsarolják újra, akkor a kifizetések nehezebbé válhatnak.
Érdekes, hogy ez hogyan alakul" - mondja Little. "Úgy tűnik, hogy ez egy kicsit a Conti-csoporton belüli vadhajtásnak tűnik."
Hozzátette, hogy bár a kiberbűnözés gépezete fantasztikusan bonyolult, a támadásokat lehetővé tevő kezdeti rendszerkompromittálás gyakran meglehetősen egyszerű, és gyakran viszonylag egyszerű védelmi intézkedésekkel elkerülhető.
"A kiberbiztonság nagy probléma, amelyet meg kell oldani, de sok ilyen incidens néhány eléggé alapvető kiberbiztonsági ellenőrzéssel nem történne meg" - mondta Little.