Группа вымогателей New Karma, скорее всего, станет ребрендингом Nemty

29
ФБР предупреждает о фишинге, нацеленном на клиентов известных брендов

Аналитики угроз из Sentinel Labs обнаружили доказательства того, что программа-вымогатель Karma была просто еще одним эволюционным шагом в штамме, который начинался как JSWorm, затем стал Nemty, затем Nefilim, Fusion, Milihpen и совсем недавно Gangbang.

Имя Karma использовалось злоумышленниками еще в 2016 году, но нет никакой связи между этой группой и той, которая возникла в этом году.

JSWorm впервые появился в 2019 году и в течение следующих двух лет претерпел серию ребрендингов, при этом всегда сохраняя сходство кода, которого было достаточно для исследователей, чтобы установить связь.

Сходства широкие и глубокие

Отчет основан на анализе восьми образцов, взятых из равного числа вымогателей нападений в июне 2021 года, все имеющую заметную коду сходство с групповухой и Milihpen вариантов, которые появились примерно в январе 2021 года.

Степень сходства варьируется до исключения папок, типов файлов и отладочных сообщений, используемых, казалось бы, несвязанными штаммами.

Еще одно примечательное сходство можно заметить при проведении «bindiff» на образцах Karma и Gangbang, когда мы видим почти неизменную функцию main ().

С точки зрения используемой схемы шифрования, в выборках произошла эволюция: более ранние использовали алгоритм шифрования Chacha20, а самые последние образцы переключились на Salsa20.

Еще одно изменение, которое было внесено на этом пути, заключалось в создании нового потока для перечисления и шифрования, возможно, для достижения более надежного результата.

Авторы вредоносной программы также добавили поддержку параметров командной строки в последних версиях.

В целом, работа над вредоносным ПО и сжатые сроки компиляции проанализированных образцов отражают тот факт, что Karma в настоящее время находится в активной разработке.

Что касается общения с жертвой и метода вымогательства, Karma следует типичному подходу: сбрасывать записки с выкупом, красть данные из скомпрометированных систем и следить за процессом двойного вымогательства.

Исторически Nemty нацелена в основном на китайские компании в машиностроительном и производственном секторе, используя открытые протоколы RDP и опубликованные эксплойты VPN для проникновения в уязвимые сети.

Карма может быть временным ребрендингом

В частном разговоре BleepingComputer с исследователем, подписывающим анализ, Антонисом Терефосом, мы получили следующую оценку текущего состояния Кармы:

Страница утечки лука Nemty «Корпоративные утечки» в настоящее время работает на (Onion) версии 2, поддержка которой скоро будет прекращена, а последняя утечка произошла 20 июля. Страница утечки Karma была создана 22 мая, а первая утечка произошла 1 сентября. 

С текущими данными, программа-вымогатель Karma и ее луковые страницы, похоже, являются еще одним ребрендингом утечек Nemty и Corporate. С точки зрения кода основные различия проявляются в алгоритме шифрования, который является областью экспериментов для многих авторов программ-вымогателей. 

Действительно, «Корпоративные утечки» перестали действовать примерно в то же время, когда Karma Leaks появилась как новый портал для утечки данных.

Примечательно, что в последнее время новый портал также вошел в короткий период бездействия, причем самая последняя жертва, указанная там, была 20 дней назад.

Все это говорит о том, что Karma может быть лишь кратковременной станцией в продолжении долгосрочной операции по вымогательству группы, которая притворяется меньше, чем они есть на самом деле.

 

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here