MKD-CIRT National Centre for Computer Incident Response
RTM Locker е најновата ransomware операција за таргетирање, која шири Linux енкриптор што ги таргетира виртуелните машини на VMware ESXi серверите.
RTM сајбер групата е активна во финансиски измами од 2015 година, позната по дистрибуција на прилагоден банкарски тројанец што се користел за кражба на пари од жртви.
Овој месец, фирмата за сајбер безбедност Trellix објави дека RTM Locker започнала нова Ransomware-as-a-service (Raas) операција и почнала да регрутира филијали, вклучително и оние од поранешниот Conti синдикат за сајбер криминал.
„Read The Manual“ Locker групата користи филијали за откуп на жртвите, каде сите се принудени да ги почитуваат строгите правила на групата“, објаснува Trellix.
Истражувачот за безбедност MalwareHunterTeam, исто така, сподели примерок од RTM Locker со BleepingComputer во декември 2022 година, што покажува дека овој RaaS бил активен најмалку пет месеци.
Во тоа време, Trellix и MalwareHunterTeam забележале само Windows ransomware енкриптор, но како што објави Uptycs вчера, RTM го прошири своето таргетирање на Linux и VMware ESXi серверите.
Во текот на изминатите години, претпријатијата преминаа на виртуелни машини (VMs), бидејќи тие нудат подобрено управување со уредите и многу поефикасно ракување со ресурсите. Поради ова, серверите на една организација најчесто се шират на мешавина од посветени уреди и VMware ESXi сервери кои работат на повеќе виртуелни сервери.
Ransomware операциите го следеа овој тренд и создадоа Linux енкриптори за таргетирање на ESXi серверите за правилно шифрирање на сите податоци што ги користат претпријатијата.
BleepingComputer ги забележа речиси сите ransomware операции, вклучувајќи ги Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX, Hive и сега, RTM Locker.
Во новиот извештај на Uptycs, истражувачите анализираа Linux варијанта на RTM Locker што се заснова на протечениот изворен код на сега веќе непостоечкиот Babuk ransomware.
RTM Locker Linux енкрипторот е создаден експлицитно за напад на VMware ESXi системи, бидејќи содржи бројни референци за команди што се користат за управување со виртуелни машини.
Кога ќе се стартува, енкрипторот најпрво ќе се обиде да ги шифрира сите VMware ESXi виртуелни машини со тоа што прво ќе собере листа користејќи ја следнава команда esxcli: esxcli vm process list >> vmlist.tmp.txt.
Откако ќе се прекинат сите VMs, енкрипторот започнува да ги шифрира датотеките што ги имаат следните екстензии на датотеки – .log (log датотеки), .vmdk (виртуелни дискови), .vmem (меморија на виртуелна машина), .vswp (swap датотеки) и .vmsn (VM snapshots).
Сите овие датотеки се поврзани со виртуелни машини кои работат на VMware ESXi.
Како и Babuk, RTM користи генерирање на случаен број и ECDH на Curve25519 за асиметрично шифрирање, но наместо на Sosemanuk, се потпира на ChaCha20 за симетрично шифрирање.
Резултатот е безбеден и сè уште не е пробиен, така што во моментов нема достапни бесплатни декриптори за RTM Locker.
Uptycs, исто така, изјави дека криптографските алгоритми се „статички имплементирани“ во кодот на бинарната, што го прави процесот на шифрирање посигурен.
Кога се шифрираат датотеките, енкрипторот ја додава наставката на датотеката .RTM на имињата на шифрираните датотеки и откако ќе заврши, создава белешки за откуп со име !!! Предупредување!!! на заразениот систем.
Белешките се закануваат дека ќе стапат во контакт со „поддршката“ на RTM во рок од 48 часа преку Tox за да преговараат за исплата на откуп, или ќе бидат објавени украдените податоци на жртвата.
Во минатото, RTM Locker користеше локации за преговарање за плаќање на следните TOR сајтови, но неодамна се префрли во TOX за комуникација.
Постоењето ESXi таргетирана верзија е доволно за да се категоризира RTM Locker како значајна закана за претпријатието.
Сепак, добрата вест е дека истражувањето на BleepingComputer покажа дека групата не е особено активна, иако тоа може да се промени во иднина.
Извор: BleepingComputer
