Το RTM Locker είναι η πιο πρόσφατη επιχείρηση ransomware που στοχεύει επιχειρήσεις και βρέθηκε να αναπτύσσει έναν κρυπτογράφο Linux που στοχεύει εικονικές μηχανές σε VMware ESXi servers.
Η συμμορία ηλεκτρονικού εγκλήματος RTM (Read the Manual) δραστηριοποιείται στην οικονομική απάτη τουλάχιστον από το 2015 και είναι γνωστή για τη διανομή ενός προσαρμοσμένου banking trojan που χρησιμοποιείται για την κλοπή χρημάτων από τα θύματα.
Αυτόν τον μήνα, η εταιρεία κυβερνοασφάλειας Trellix ανέφερε ότι η RTM Locker είχε ξεκινήσει μια νέα επιχείρηση Ransomware-as-a-Service (RaaS) και είχε αρχίσει να προσλαμβάνει συνεργάτες, συμπεριλαμβανομένων εκείνων από το πρώην συνδικάτο κυβερνοεγκλήματος Conti.
Ο ερευνητής ασφαλείας MalwareHunterTeam μοιράστηκε επίσης ένα δείγμα του RTM Locker με το BleepingComputer τον Δεκέμβριο του 2020, υποδεικνύοντας ότι αυτό το RaaS ήταν ενεργό για τουλάχιστον πέντε μήνες.
Εκείνη τη στιγμή, η Trellix και η MalwareHunterTeam είχαν δει μόνο έναν κρυπτογράφο ransomware για Windows– ωστόσο, όπως ανέφερε χθες η Uptycs, το RTM έχει επεκτείνει τη στόχευσή του σε Linux και VMware ESXi servers.
Στοχεύοντας VMware ESXi
Τα τελευταία χρόνια, οι επιχειρήσεις έχουν στραφεί στις εικονικές μηχανές (VM), καθώς προσφέρουν βελτιωμένη διαχείριση των συσκευών και πολύ πιο αποτελεσματικό χειρισμό των πόρων. Κατά συνέπεια, οι servers ενός οργανισμού κατανέμονται συχνά σε έναν συνδυασμό αποκλειστικών συσκευών και διακομιστών VMware ESXi που εκτελούν πολλούς εικονικούς διακομιστές.
Οι επιχειρήσεις Ransomware ακολούθησαν αυτή την τάση, δημιουργώντας κρυπτογράφους Linux αφιερωμένους στη στόχευση διακομιστών ESXi και κρυπτογραφώντας κατάλληλα όλα τα δεδομένα που χρησιμοποιούνται από την επιχείρηση.
Το BleepingComputer έχει δει αυτό σχεδόν σε όλες τις επιχειρήσεις που στοχεύουν σε ransomware, συμπεριλαμβανομένων των Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX, Hive και RTM Locker.
Σε μια νέα έκθεση της Uptycs, οι ερευνητές ανέλυσαν μια παραλλαγή του RTM Locker για Linux, η οποία βασίζεται στον πηγαίο κώδικα που διέρρευσε από το ransomware Babuk που έχει πλέον καταργηθεί.
Ο κρυπτογράφος RTM Locker Linux φαίνεται να έχει δημιουργηθεί ρητά για επιθέσεις σε συστήματα VMware ESXi, καθώς περιέχει πολλές αναφορές σε εντολές που χρησιμοποιούνται για τη διαχείριση εικονικών μηχανών.
Κατά την εκκίνηση, ο κρυπτογράφος θα προσπαθήσει πρώτα να κρυπτογραφήσει όλες τις εικονικές μηχανές VMware ESXi συγκεντρώνοντας μια λίστα των VM που εκτελούνται χρησιμοποιώντας την ακόλουθη εντολή esxcli:
Στη συνέχεια, ο κρυπτογράφος τερματίζει όλες τις εκτελούμενες εικονικές μηχανές χρησιμοποιώντας την ακόλουθη εντολή:
Αφού τερματιστούν όλα τα VM, ο κρυπτογραφητής αρχίζει να κρυπτογραφεί αρχεία που έχουν τις ακόλουθες επεκτάσεις αρχείων – .log (αρχεία καταγραφής), .vmdk (εικονικοί δίσκοι), .vmem (μνήμη εικονικής μηχανής), .vswp (αρχεία ανταλλαγής) και .vmsn (VM snapshots).
Όλα αυτά τα αρχεία σχετίζονται με εικονικές μηχανές που εκτελούνται στο VMware ESXI.
Όπως το Babuk, το RTM χρησιμοποιεί μια παραγωγή τυχαίων αριθμών και ECDH στο Curve25519 για ασύμμετρη κρυπτογράφηση, αλλά αντί για το Sosemanuk, βασίζεται στο ChaCha20 για συμμετρική κρυπτογράφηση.
Το αποτέλεσμα είναι ασφαλές και δεν έχει σπάσει ακόμα, οπότε δεν υπάρχουν διαθέσιμα δωρεάν αποκρυπτογραφικά προγράμματα για το RTM Locker αυτή τη στιγμή.
Η Uptycs σχολιάζει επίσης ότι οι κρυπτογραφικοί αλγόριθμοι είναι “στατικά υλοποιημένοι” στον κώδικα του binary, καθιστώντας τη διαδικασία κρυπτογράφησης πιο αξιόπιστη.
Κατά την κρυπτογράφηση αρχείων, ο κρυπτογράφος προσθέτει την επέκταση αρχείου .RTM στο όνομα του κρυπτογραφημένου αρχείου, και αφού τελειώσει, δημιουργεί σημειώσεις λύτρων με το όνομα “!!! Warning !!!!” στο μολυσμένο σύστημα.
Το σημείωμα απειλεί με επικοινωνία με την “υποστήριξη” της RTM εντός 48 ωρών μέσω Tox προκειμένου να διαπραγματευτεί την καταβολή λύτρων, διαφορετικά τα κλεμμένα δεδομένα του θύματος θα δημοσιευτούν.
Στο παρελθόν, το RTM Locker χρησιμοποιούσε τοποθεσίες διαπραγμάτευσης πληρωμών στα ακόλουθα TOR sites, αλλά πρόσφατα μεταφέρθηκε στην Tox για τις επικοινωνίες.
Η ύπαρξη μιας έκδοσης που στοχεύει στο ESXi είναι αρκετή για να κατηγοριοποιήσει το RTM Locker ως σημαντική απειλή για την επιχείρηση.
Ωστόσο, τα καλά νέα είναι ότι η έρευνα του BleepingComputer έδειξε ότι η ομάδα δεν είναι ιδιαίτερα δραστήρια, αν και αυτό μπορεί να αλλάξει στο μέλλον.
Πηγή πληροφοριών: bleepingcomputer.com
