Karma este un atac ransomware cu acțiune rapidă, conceput pentru a cripta cu rapiditate datele de pe mașinile compromise. Începând cu jumătatea anului 2021, malware-ul Karma a folosit inițial codul de flux cunoscut sub numele de ChaCha20. Mostre recente au schimbat acest lucru cu Salsa20, sugerând că malware-ul este încă în curs de dezvoltare.
Grupul de răscumpărare Karma a creat un site pentru dezvăluiri ale bazelor de date compromise numit „Karma Leaks”, care este găzduit printr-o pagină Onion. Acest site are postări asemănătoare unui blog care fac aluzie la infiltrarea în rețeaua unei organizații înainte de a-și implementa ransomware-ul.
O astfel de tehnică le permite să aibă o înțelegere mai bună a valorii datelor victimei înainte de a stabili o sumă de bani pentru răscumpărare. De asemenea, grupul folosește acest site ca un truc de dublă extorcare.
Organizațiile afectate care refuză să plătească cererile de răscumpărare sau care nu plătesc într-un anumit timp, au datele publicate.
În octombrie 2021, ransomware-ul Karma a trecut printr-o schimbare iterativă, arătând progrese rapide, inclusiv dimensiuni mai mici ale eșantionului și schimbări în rutina lor de criptare.
Fișierele criptate de cea mai nouă versiune a ransomware-ului au extensia de fișier [.KARMA_V2] adăugată, diferită față de extensia de fișier inițială [.KARMA], utilizată într-o versiune anterioară. Sistemul de operare afectat este doar Windows la acest moment.
Analiză tehnică
Vector de infecție
Vectorul de infecție utilizat de banda de ransomware Karma este necunoscut dar pare să varieze.
Odată ce grupul și-a stabilit un punct de sprijin inițial, probabil că încearcă să se miște lateral și să exfiltreze orice date de valoare. Odată ce recunoașterea și furtul de informații s-au încheiat, ei execută ransomware-ul Karma pentru a cripta sistemele victimelor pe care le-au compromis.
Analiza Fișierului
Fișierul ransomware în sine este mic, cu mostre variind între 15 KB și 130 KB. În ciuda dimensiunilor lor mici, niciunul dintre mostrele obținute din surse online nu a fost împachetat de către ambalatori de software digital.
Mostrele observate au fost toate de Windows® pe 32 de biți Portable Executables (PE) cu un marcaj temporal al compilației din 2021. Toate mostrele găsite în sălbăticie au fost compilate în Microsoft® Visual C++.
Deși majoritatea mostrelor de Karma sunt nesemnate, fără certificate digitale, cel puțin o mostră cunoscută a fost semnată cu o semnătură digitală nerevocată în prezent.
Karma pare să fie încă în curs de dezvoltare, într-o perioadă scurtă de timp, mostrele de Karma analizate au devenit progresiv mai mici, și-au schimbat rutina de criptare și au crescut în complexitate.
Mostrele inițiale de Karma conțineau o casetă pop-up de consolă în timpul criptării, ceea ce înseamnă că un utilizator atent ar putea încerca să încheie procesul înainte ca toate datele să fie criptate.
Cu toate acestea, având în vedere viteza rutinei de criptare a malware-ului, ar fi fost dificil să se acționeze suficient de rapid pentru a păstra toate datele intacte.
Mostrele mai recente conțin șirul static: Karma_V2. Aceste mostre au o mare asemănare cu versiunea a doua, dar caseta inițială a consolei, afișată anterior pe dispozitivul victimă nu mai este vizibilă. Viteza și metoda sa de criptare par aceleași.
Karma Mutex
Karma_V2, ca și versiunea originală, creează inițial un mutex numit „KARMA”. Acesta funcționează ca un buffer pentru a preveni executarea unei alte instanțe a ransomware-ului, dacă una rulează deja.
Acest lucru este probabil făcut pentru a preveni reinfectarea, precum și dubla criptare care ar putea apărea dacă ransomware-ul se execută din greșeală de două ori.
Dacă ransomware-ul ar fi executat de două ori pe un sistem, este posibil ca datele dublu criptate să devină nerecuperabile și corupte. Acest lucru ar contraveni scopului unui astfel de malware, care solicită o plată pentru decriptarea și recuperarea datelor utilizatorului.
Criptare
Nu toate mostrele de Karma au aceleași obiective. Deși toate funcționează la fel, pot viza fișiere și foldere diferite.
Mostrele Karma variază în funcție de extensiile de fișiere și folderele pe care le exclud de la criptare. Aceste informații sunt codificate static în malware, situat în secțiunea .rdata a fiecărui eșantion.
Schimbare de fundal
În toate mostrele de ransomware Karma analizate până în prezent, odată ce criptarea este finalizată, malware-ul creează un fișier numit „background.jpg”.
Acest fișier este generat și stocat în directorul %Temp%. Există puține abateri în nota de răscumpărare Karma. Cu toate acestea, formatarea este în general aceeași în toate versiunile.
De obicei, conținutul acestor note este codat în Base-64 și conținut în șirurile statice ale fișierului. Conținutul este decodat în memorie înainte de a fi plasat în fișierul text KARMA-ENCRYPTED.txt sau KARMA-AGREE.txt.
Notele de răscumpărare sunt create și aruncate în toate folderele în care malware-ul are fișiere criptate. Nota conține un link Onion către site-ul de scurgeri al actorului amenințării. Conține, de asemenea, adrese de e-mail unice legate de acel eșantion specific de Karma.
Aceste adrese urmează adesea un model care conține cel puțin unul dintre următoarele servicii de e-mail: OnionMail; Tutanota; ProtonMail.
Site-ul ”leak”de răscumărare/dezvăluire a datelor
În timp ce s-au observat și alte amenințări ransomware răspândite care își vând codul rău intenționat altor actori de amenințări sub formă de oferte Ransomware-as-a-Service, Karma pare să fie folosită numai de proprii creatori.
De când Karma a început să posteze pe pagina sa web Onion în mai 2021, actorii amenințărilor ransomware au fost ocupați să-și populeze site-ul WordPress de bază cu numele și datele victimelor care au refuzat să-și plătească răscumpărarea.
Începând cu noiembrie 2021, site-ul găzduiește datele a patru victime care nu s-au angajat sau nu au contactat grupul și, prin urmare, le-au fost scurse datele în mod public. Fiecare postare prezentată în conține mai multe link-uri pentru a descărca informații confidențiale furate de actorii amenințărilor.
Site-ul sugerează că aceste postări cu „dublă extorcare” ar fi eliminate dacă se plătește o taxă, ceea ce înseamnă că numărul real de victime care au căzut în sarcina Karma se poate extinde dincolo de acest număr inițial.
Se pare că banda de ransomware Karma tinde să vizeze marile organizații multinaționale; în special, cei cu peste 1.000 de angajați și venituri de aproximativ 1 miliard de dolari.
Site-ul web al lui Karma are câteva postări asemănătoare blogului despre potențialele victime de la care intenționează să scurgă date în curând și alte modalități de a contacta banda.
Nici nota de răscumpărare, nici site-ul web nu dezvăluie public o anumită sumă de răscumpărare. De obicei, ransomware-ul va solicita imediat o taxă specifică victimei sau o taxă forfetară pentru decriptarea fișierelor.
Întrucât grupul de ransomware Karma se infiltrează probabil în organizații în mod direct, spre deosebire de un model ransomware as a service (RaaS), tarifele pot varia în funcție nu doar de daunele cauzate de ransomware, ci și de capacitatea victimei de a plăti și de criticitatea datelor afectate.
Concluzie
Ransomware-ul Karma este o operațiune nemiloasă și care evoluează rapid.
Deși Karma are multe asemănări cu alte familii cunoscute de ransomware, dezvoltarea sa rapidă și progresul în tehnici fac atât malware-ul, cât și actorul amenințării din spatele acestuia extrem de periculoși.
Folosirea „Karma leaks” ca un truc de dublă extorcare arată dorința grupului de amenințare de a demasca victimele care nu plătesc.
Atât prin activitatea privind „dezvăluirile Karma”, cât și cu dezvoltarea KARMA_V2, se pare că acest actor de amenințare își intensifică operațiunile și căută activ organizații mari pe care să le vizeze în continuare.