تحلیلگران بدافزار آزمایشگاه Sentinel شواهدی یافتند مبنی بر اینکه باج افزار Karma یکی دیگر از مراحل تکاملی زنجیره بدافزاری است که با JSWorm شروع شد، تبدیل به Nemty سپس Milihpen ،Fusion ،Nefilim و اخیراً نیز Gangbang شد.
نام Karma در سال 2016 توسط عاملان تهدید استفاده میشد، اما هیچ ارتباطی بین آن گروه و گروهی که امسال ظاهر شده وجود ندارد. JSWorm برای اولین بار در سال 2019 شروع به کار کرد و طی دو سال گذشته یک سری تغییر نام را پشت سر گذاشت، در حالی که همیشه مشابهت کدهای به کار رفته خود را حفظ کرده و همین برای محققان کافی بود تا این ارتباطات را درک کنند.
مشابهتی عمیق و وسیع میان این گروهها
تحقیقات بر اساس تحلیل هشت نمونه فایل مشاهده شده در حملاتی است که در ماه ژوئن ۲۰۲۱ رخ داد و همگی شباهتهای کد قابل توجهی با انواع Gangbang و Milihpen دارند که در حدود ژانویه 2021 کار خود را شروع کردند.
از نظر شمای رمزگذاری به کار رفته میتوان متوجه شد که تکاملی در تمام نمونهها نسبت به نمونههای به کار رفته در الگوریتم کدگذاری سابق یعنی Chacha20 وجود دارد و جدیدترین نمونهها نیز از الگوریتم Salsa20 استفاده میکنند.
تغییر دیگری که در این مسیر صورت گرفته، ایجاد روندی نوین برای عددگذاری و رمزگذاری است تا احتمالاً نتیجهای قابل اعتمادتر را از خود نشان دهد. نویسندگان بدافزار بر روی پارامترهای خط فرمان در آخرین نسخههای منتشر شده خود نیز پشتیبانی قرار دادهاند.
در مجموع، کار بر روی بدافزار و تاریخهای دقیق گردآوری نمونههای تحلیل شده نشان دهنده این واقعیت است که Karma در حال حاضر درگیر توسعه فعال است.
