Новая вымогательская группировка Karma - на самом деле переименованная Nefilim

Специалисты Sentinel Labs нашли свидетельства того, что вымогательское ПО Karma представляет собой очередное звено эволюции вредоносной программы JSWorm, которая на разных этапах именовалось Nemty, Nefilim, Fusion, Milihpen и совсем недавно - Gangbang.

Название Karma используется операторами вымогательского ПО еще с 2016 года, но те киберпреступники и группировка, возникшая в нынешнем году, никак не связаны между собой.

Вымогательское ПО JSWorm впервые появилось в апреле 2019 года, и с тех пор его название менялось много раз. Однако, поскольку код новых появляющихся образцов имел много общего с предыдущими, исследователям не составило труда найти между ними связь.

Так, в августе 2019 года JSWorm был переименован в Nemty, а уже в марте 2020 года вредонос получил название Nefilim. В мае Nefilim превратился в Offwhite, в июне - в Telegram, а в ноябре - в Fusion. В феврале 2021 года он начал называться Milihpen, а уже через месяц - Gangbang.

Все вышеперечисленные образцы имеют ряд сходств между собой, начиная от исключений папок и типов файлов и заканчивая сообщениями отладки. При сравнении бинарных файлов Karma и Gangbang с помощью утилиты BinDiff можно обнаружить, что функция ‘main()’ в них совершенно одинаковая.

Что касается алгоритмов шифрования, то здесь они менялись с каждым новым образцом. Ранние варианты вымогателя использовали алгоритм шифрования Chacha20, а последние переключились на Salsa20.

В целом, работа над вредоносным ПО и сжатые сроки компиляции проанализированных исследователями образцов отражают тот факт, что Karma в настоящее время находится в активной разработке.

Как сообщил порталу BleepingComputer исследователь из Sentinel Labs Антонис Терефос (Antonis Terefos), в настоящее время в даркнете есть вторая версия "страницы утечек" Nemty под названием Corporate Leaks. В скором времени поддержка страницы прекратится, и сейчас последняя опубликованная на ней утечка датируется 20 июля 2021 года. "Страница утечек" Karma была создана 22 мая нынешнего года, и первая утечка была опубликована на ней 1 сентября.

Примерно в то же время, когда появилась страница Karma, Corporate Leaks перестала быть активной. Из этого можно предположить, что Karma может являться всего лишь краткосрочным промежуточным звеном в продолжительной кибервымогательской операции группировки, всеми силами старающейся скрыть свои истинные масштабы.