21/10/21
Специалисты Sentinel Labs нашли свидетельства того, что вымогательское ПО Karma представляет собой очередное звено эволюции вредоносной программы JSWorm, которая на разных этапах именовалось Nemty, Nefilim, Fusion, Milihpen и совсем недавно - Gangbang.
Название Karma используется операторами вымогательского ПО еще с 2016 года, но те киберпреступники и группировка, возникшая в нынешнем году, никак не связаны между собой.
Вымогательское ПО JSWorm впервые появилось в апреле 2019 года, и с тех пор его название менялось много раз. Однако, поскольку код новых появляющихся образцов имел много общего с предыдущими, исследователям не составило труда найти между ними связь.
Так, в августе 2019 года JSWorm был переименован в Nemty, а уже в марте 2020 года вредонос получил название Nefilim. В мае Nefilim превратился в Offwhite, в июне - в Telegram, а в ноябре - в Fusion. В феврале 2021 года он начал называться Milihpen, а уже через месяц - Gangbang.
Все вышеперечисленные образцы имеют ряд сходств между собой, начиная от исключений папок и типов файлов и заканчивая сообщениями отладки. При сравнении бинарных файлов Karma и Gangbang с помощью утилиты BinDiff можно обнаружить, что функция ‘main()’ в них совершенно одинаковая.
Что касается алгоритмов шифрования, то здесь они менялись с каждым новым образцом. Ранние варианты вымогателя использовали алгоритм шифрования Chacha20, а последние переключились на Salsa20.
В целом, работа над вредоносным ПО и сжатые сроки компиляции проанализированных исследователями образцов отражают тот факт, что Karma в настоящее время находится в активной разработке.
Как сообщил порталу BleepingComputer исследователь из Sentinel Labs Антонис Терефос (Antonis Terefos), в настоящее время в даркнете есть вторая версия "страницы утечек" Nemty под названием Corporate Leaks. В скором времени поддержка страницы прекратится, и сейчас последняя опубликованная на ней утечка датируется 20 июля 2021 года. "Страница утечек" Karma была создана 22 мая нынешнего года, и первая утечка была опубликована на ней 1 сентября.
Примерно в то же время, когда появилась страница Karma, Corporate Leaks перестала быть активной. Из этого можно предположить, что Karma может являться всего лишь краткосрочным промежуточным звеном в продолжительной кибервымогательской операции группировки, всеми силами старающейся скрыть свои истинные масштабы.
