Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora
  • English

Ransomware evolution: Karma è l’evoluzione di JSWorm.

Gli analisti delle minacce di Sentinel Labs hanno trovato prove del fatto che il ransomware Karma è solo un altro passo evolutivo nel ceppo iniziato come JSWorm, diventato Nemty, poi Nefilim, Fusion, Milihpen e, più recentemente, Gangbang.

Il nome Karma è stato utilizzato dagli attori del ransomware nel 2016. JSWorm è apparso per la prima volta nel 2019 e ha subito una serie di rebranding nei due anni successivi, pur mantenendo somiglianze di codice sufficienti per consentire ai ricercatori di stabilire la connessione.

Il rapporto si basa sull’analisi di otto campioni prelevati da un numero uguale di attacchi ransomware nel giugno 2021, tutti con notevoli somiglianze di codice con le varianti Gangbang e Milihpen apparse intorno a gennaio 2021.


Somiglianze nella funzione main

L’estensione delle somiglianze va dall’esclusione di cartelle, tipi di file e messaggi di debug utilizzati dai ceppi apparentemente non simili. Un’altra somiglianza degna di nota può essere individuata quando si esegue un “bindiff” su campioni Karma e Gangbang, vedendo una funzione ‘main()’ quasi invariata.

Dal punto di vista dello schema di crittografia utilizzato, c’è stata un’evoluzione tra i campioni, con i primi che utilizzano l’algoritmo di crittografia Chacha20 e i campioni più recenti che sono passati a Salsa20.

Un’altra modifica introdotta lungo il percorso è stata la creazione di un nuovo thread per l’enumerazione e la crittografia, possibilmente per ottenere un risultato più affidabile.

Gli autori del malware hanno anche aggiunto il supporto per i parametri della riga di comando nelle ultime versioni.

Tutto sommato, le date di compilazione dei campioni analizzati riflettono il fatto che Karma è attualmente in fase di sviluppo attivo.

Storicamente, Nemty ha preso di mira principalmente aziende cinesi nel settore dell’ingegneria e della produzione, sfruttando gli RDP esposti e gli exploit VPN pubblicati per infiltrarsi nelle reti vulnerabili.