Ransomware evolution: Karma è l'evoluzione di JSWorm.


Gli analisti delle minacce di Sentinel Labs hanno trovato prove del fatto che il ransomware Karma è solo un altro passo evolutivo nel ceppo iniziato come JSWorm, diventato Nemty, poi Nefilim, Fusion, Milihpen e, più recentemente, Gangbang.



Il nome Karma è stato utilizzato dagli attori del ransomware nel 2016. JSWorm è apparso per la prima volta nel 2019 e ha subito una serie di rebranding nei due anni successivi, pur mantenendo somiglianze di codice sufficienti per consentire ai ricercatori di stabilire la connessione.


Il rapporto si basa sull'analisi di otto campioni prelevati da un numero uguale di attacchi ransomware nel giugno 2021, tutti con notevoli somiglianze di codice con le varianti Gangbang e Milihpen apparse intorno a gennaio 2021.


Somiglianze nella funzione main

L'estensione delle somiglianze va dall'esclusione di cartelle, tipi di file e messaggi di debug utilizzati dai ceppi apparentemente non simili. Un'altra somiglianza degna di nota può essere individuata quando si esegue un "bindiff" su campioni Karma e Gangbang, vedendo una funzione 'main()' quasi invariata.