Аналитики угроз из Sentinel Labs обнаружили доказательства того, что программа-вымогатель Karma была просто еще одним эволюционным шагом в штамме, который начинался как JSWorm, затем стал Nemty, затем Nefilim, Fusion, Milihpen и совсем недавно Gangbang.
Имя Karma использовалось злоумышленниками еще в 2016 году, но нет никакой связи между этой группой и той, которая возникла в этом году.
JSWorm впервые появился в 2019 году и в течение следующих двух лет претерпел серию ребрендингов, при этом всегда сохраняя сходство кода, которого было достаточно для исследователей, чтобы установить связь.
Сходства широкие и глубокие
Отчет основан на анализе восьми образцов, взятых из равного числа вымогателей нападений в июне 2021 года, все имеющую заметную коду сходство с групповухой и Milihpen вариантов, которые появились примерно в январе 2021 года.
Степень сходства варьируется до исключения папок, типов файлов и отладочных сообщений, используемых, казалось бы, несвязанными штаммами.
Еще одно примечательное сходство можно заметить при проведении «bindiff» на образцах Karma и Gangbang, когда мы видим почти неизменную функцию main ().
С точки зрения используемой схемы шифрования, в выборках произошла эволюция: более ранние использовали алгоритм шифрования Chacha20, а самые последние образцы переключились на Salsa20.
Еще одно изменение, которое было внесено на этом пути, заключалось в создании нового потока для перечисления и шифрования, возможно, для достижения более надежного результата.
Авторы вредоносной программы также добавили поддержку параметров командной строки в последних версиях.
В целом, работа над вредоносным ПО и сжатые сроки компиляции проанализированных образцов отражают тот факт, что Karma в настоящее время находится в активной разработке.
Что касается общения с жертвой и метода вымогательства, Karma следует типичному подходу: сбрасывать записки с выкупом, красть данные из скомпрометированных систем и следить за процессом двойного вымогательства.
Исторически Nemty нацелена в основном на китайские компании в машиностроительном и производственном секторе, используя открытые протоколы RDP и опубликованные эксплойты VPN для проникновения в уязвимые сети.
Карма может быть временным ребрендингом
В частном разговоре BleepingComputer с исследователем, подписывающим анализ, Антонисом Терефосом, мы получили следующую оценку текущего состояния Кармы:
Страница утечки лука Nemty «Корпоративные утечки» в настоящее время работает на (Onion) версии 2, поддержка которой скоро будет прекращена, а последняя утечка произошла 20 июля. Страница утечки Karma была создана 22 мая, а первая утечка произошла 1 сентября.
С текущими данными, программа-вымогатель Karma и ее луковые страницы, похоже, являются еще одним ребрендингом утечек Nemty и Corporate. С точки зрения кода основные различия проявляются в алгоритме шифрования, который является областью экспериментов для многих авторов программ-вымогателей.
Действительно, «Корпоративные утечки» перестали действовать примерно в то же время, когда Karma Leaks появилась как новый портал для утечки данных.
Примечательно, что в последнее время новый портал также вошел в короткий период бездействия, причем самая последняя жертва, указанная там, была 20 дней назад.
Все это говорит о том, что Karma может быть лишь кратковременной станцией в продолжении долгосрочной операции по вымогательству группы, которая притворяется меньше, чем они есть на самом деле.
Последнее обновление 05.01.2023
