idNSA.id - Pakar Sentinel Labs telah menganalisis ransomware Karma baru dan berspekulasi bahwa itu merupakan evolusi dari operasi ransomware Nemty.
Karma ransomware adalah ancaman baru yang pertama kali ditemukan pada Juni 2021, penting untuk membedakannya dari ancaman lain dengan nama yang sama yang aktif sejak 2016.
Peneliti Sentinel Labs mengeksplorasi hubungan antara ransomware Karma dan keluarga malware lainnya seperti NEMTY dan JSWorm .
Para peneliti menganalisis delapan sampel yang digunakan dalam serangan yang terjadi pada Juni 2021 dan menganalisis mereka menemukan kesamaan kode penting dengan beberapa varian ransomware Gangbang dan Milihpen yang aktif di alam liar setidaknya sejak Januari 2021. Analisis tanggal kompilasi sampel menunjukkan bahwa ransomware Karma masih dalam pengembangan aktif.
Kesamaan antara Karma dan varian di atas termasuk pengecualian ekstensi dan folder dan adanya pesan debug.
“Dari analisis kami, kami melihat kesamaan antara JSWorm dan permutasi terkait dari keluarga ransomware seperti NEMTY, Nefilim, dan GangBang. Secara khusus, kode Karma yang dianalisis memiliki kemiripan yang dekat dengan varian GangBang atau Milihpen yang muncul sekitar Januari 2021.” membaca analisis yang diterbitkan oleh SentinelLabs.
Para ahli melakukan "bindiff" pada sampel Karma dan Gangbang dan memperhatikan bahwa fungsi 'main()' sangat mirip.
Analisis proses enkripsi yang diterapkan pada sampel yang dianalisis mengungkapkan bahwa yang sebelumnya menggunakan algoritma enkripsi Chacha20, sedangkan sampel terbaru menggunakan algoritma Salsa20.
“Menyelam lebih dalam, beberapa sampel menunjukkan bahwa algoritma ChaCha20 telah ditukar dengan Salsa20. Algoritma asimetris (untuk ECC) telah ditukar dari Secp256k1 ke Sect233r1. Beberapa pembaruan seputar eksekusi juga mulai muncul selama waktu ini, seperti dukungan untuk parameter baris perintah.” melanjutkan laporannya.
Seperti operasi ransomware lainnya, geng Karma telah membuat situs kebocoran di mana mempublikasikan data curian dari para korban yang tidak membayar uang tebusan.
“Karma adalah operasi ransomware yang muda dan lapar. Mereka agresif dalam penargetan mereka, dan tidak menunjukkan keengganan dalam menindaklanjuti ancaman mereka. Kesamaan yang jelas dengan keluarga JSWorm juga sangat menonjol karena bisa menjadi indikator grup lebih dari yang terlihat. ” "Perputaran yang cepat selama beberapa bulan terakhir menunjukkan bahwa aktor tersebut berinvestasi dalam pengembangan dan bertujuan untuk ada di masa mendatang." menyimpulkan laporan yang juga mencakup Indikator Kompromi (IoC) untuk ancaman tersebut.
