Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Новая вымогательская группировка Karma - на самом деле переименованная Nefilim

21/10/21

hack86-Oct-21-2021-10-00-29-81-AMСпециалисты Sentinel Labs нашли свидетельства того, что вымогательское ПО Karma представляет собой очередное звено эволюции вредоносной программы JSWorm, которая на разных этапах именовалось Nemty, Nefilim, Fusion, Milihpen и совсем недавно - Gangbang.

Название Karma используется операторами вымогательского ПО еще с 2016 года, но те киберпреступники и группировка, возникшая в нынешнем году, никак не связаны между собой.

Вымогательское ПО JSWorm впервые появилось в апреле 2019 года, и с тех пор его название менялось много раз. Однако, поскольку код новых появляющихся образцов имел много общего с предыдущими, исследователям не составило труда найти между ними связь.

Так, в августе 2019 года JSWorm был переименован в Nemty, а уже в марте 2020 года вредонос получил название Nefilim. В мае Nefilim превратился в Offwhite, в июне - в Telegram, а в ноябре - в Fusion. В феврале 2021 года он начал называться Milihpen, а уже через месяц - Gangbang.

Все вышеперечисленные образцы имеют ряд сходств между собой, начиная от исключений папок и типов файлов и заканчивая сообщениями отладки. При сравнении бинарных файлов Karma и Gangbang с помощью утилиты BinDiff можно обнаружить, что функция ‘main()’ в них совершенно одинаковая.

Что касается алгоритмов шифрования, то здесь они менялись с каждым новым образцом. Ранние варианты вымогателя использовали алгоритм шифрования Chacha20, а последние переключились на Salsa20.

В целом, работа над вредоносным ПО и сжатые сроки компиляции проанализированных исследователями образцов отражают тот факт, что Karma в настоящее время находится в активной разработке.

Как сообщил порталу BleepingComputer исследователь из Sentinel Labs Антонис Терефос (Antonis Terefos), в настоящее время в даркнете есть вторая версия "страницы утечек" Nemty под названием Corporate Leaks. В скором времени поддержка страницы прекратится, и сейчас последняя опубликованная на ней утечка датируется 20 июля 2021 года. "Страница утечек" Karma была создана 22 мая нынешнего года, и первая утечка была опубликована на ней 1 сентября.

Примерно в то же время, когда появилась страница Karma, Corporate Leaks перестала быть активной. Из этого можно предположить, что Karma может являться всего лишь краткосрочным промежуточным звеном в продолжительной кибервымогательской операции группировки, всеми силами старающейся скрыть свои истинные масштабы.

Темы:УгрозыВымогателиSentinel Labs
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...