Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Ransomware evolution: Karma è l’evoluzione di JSWorm.

Redazione RHC : 19 Ottobre 2021 13:06

Gli analisti delle minacce di Sentinel Labs hanno trovato prove del fatto che il ransomware Karma è solo un altro passo evolutivo nel ceppo iniziato come JSWorm, diventato Nemty, poi Nefilim, Fusion, Milihpen e, più recentemente, Gangbang.

Supporta Red Hot Cyber attraverso

Il nome Karma è stato utilizzato dagli attori del ransomware nel 2016. JSWorm è apparso per la prima volta nel 2019 e ha subito una serie di rebranding nei due anni successivi, pur mantenendo somiglianze di codice sufficienti per consentire ai ricercatori di stabilire la connessione.

Il rapporto si basa sull’analisi di otto campioni prelevati da un numero uguale di attacchi ransomware nel giugno 2021, tutti con notevoli somiglianze di codice con le varianti Gangbang e Milihpen apparse intorno a gennaio 2021.


Somiglianze nella funzione main

L’estensione delle somiglianze va dall’esclusione di cartelle, tipi di file e messaggi di debug utilizzati dai ceppi apparentemente non simili. Un’altra somiglianza degna di nota può essere individuata quando si esegue un “bindiff” su campioni Karma e Gangbang, vedendo una funzione ‘main()’ quasi invariata.

Dal punto di vista dello schema di crittografia utilizzato, c’è stata un’evoluzione tra i campioni, con i primi che utilizzano l’algoritmo di crittografia Chacha20 e i campioni più recenti che sono passati a Salsa20.

Un’altra modifica introdotta lungo il percorso è stata la creazione di un nuovo thread per l’enumerazione e la crittografia, possibilmente per ottenere un risultato più affidabile.

Gli autori del malware hanno anche aggiunto il supporto per i parametri della riga di comando nelle ultime versioni.

Tutto sommato, le date di compilazione dei campioni analizzati riflettono il fatto che Karma è attualmente in fase di sviluppo attivo.

Storicamente, Nemty ha preso di mira principalmente aziende cinesi nel settore dell’ingegneria e della produzione, sfruttando gli RDP esposti e gli exploit VPN pubblicati per infiltrarsi nelle reti vulnerabili.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Categorie
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

Redazione: redazione@redhotcyber.com
© Copyright RED HOT CYBER. PIVA 16821691009