Linux-версия программы-вымогателя RTM Locker нацелена на серверы VMware ESXi

Jun 21, 2023

RTM Locker — это новейшая программа-вымогатель, ориентированная на предприятия, которая развертывает шифратор Linux, нацеленный на виртуальные машины на серверах VMware ESXi.

Киберпреступная группировка RTM («Прочти руководство») занимается финансовым мошенничеством как минимум с 2015 года и известна распространением специального банковского трояна, используемого для кражи денег у жертв.

В этом месяце компания Trellix, занимающаяся кибербезопасностью, сообщила, что RTM Locker запустила новую операцию «Программы-вымогатели как услуга» (Raas) и начала набирать филиалов, в том числе из бывшего синдиката киберпреступности Conti.

«Группа Locker «Read The Manual» использует своих филиалов для выкупа жертв, причем все они вынуждены подчиняться строгим правилам банды», — объясняет Трелликс.

«Деловая структура группы, в которой филиалы обязаны оставаться активными или уведомлять банду о своем уходе, показывает организационную зрелость группы, что также наблюдалось в других группах, таких как Конти».

Исследователь безопасности MalwareHunterTeam также поделился образцом RTM Locker с BleepingComputer в декабре 2022 года, указав, что этот RaaS активен уже не менее пяти месяцев.

В то время Trellix и MalwareHunterTeam видели только программу-вымогатель для Windows, но, как вчера сообщил Uptycs, RTM расширила свою ориентацию на серверы Linux и VMware ESXi.

За последние годы предприятие перешло на виртуальные машины (ВМ), поскольку они предлагают улучшенное управление устройствами и гораздо более эффективное управление ресурсами. В связи с этим серверы организации обычно распределены по нескольким выделенным устройствам и серверам VMware ESXi, на которых работают несколько виртуальных серверов.

Операции по вымогательству последовали этой тенденции и создали шифраторы Linux, предназначенные для атак на серверы ESXi и обеспечивающие правильное шифрование всех данных, используемых предприятием.

BleepingComputer наблюдал это практически во всех операциях с программами-вымогателями, нацеленными на предприятия, включая Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX, Hive, а теперь и RTM Locker.

В новом отчете Uptycs исследователи проанализировали вариант RTM Locker для Linux, основанный на утекшем исходном коде ныне несуществующей программы-вымогателя Babuk.

Шифратор RTM Locker Linux, судя по всему, создан специально для атаки на системы VMware ESXi, поскольку содержит многочисленные ссылки на команды, используемые для управления виртуальными машинами.

При запуске шифратор сначала попытается зашифровать все виртуальные машины VMware ESXi, сначала собрав список работающих виртуальных машин с помощью следующей команды esxcli:

Затем шифратор завершает работу всех работающих виртуальных машин с помощью следующей команды:

После завершения работы всех виртуальных машин шифратор начинает шифровать файлы со следующими расширениями — .log (файлы журналов), .vmdk (виртуальные диски), .vmem (память виртуальной машины), .vswp (файлы подкачки) и .vmsn (снимки виртуальной машины).

Все эти файлы связаны с виртуальными машинами, работающими на VMware ESXi.

Как и Babuk, RTM использует генерацию случайных чисел и ECDH на Curve25519 для асимметричного шифрования, но вместо Sosemanuk для симметричного шифрования он использует ChaCha20.

Результат безопасен и еще не взломан, поэтому в настоящее время бесплатных дешифраторов для RTM Locker нет.

Uptycs также отмечает, что криптографические алгоритмы «статически внедрены» в двоичный код, что делает процесс шифрования более надежным.

При шифровании файлов шифратор добавляет.RTMрасширение файла к именам зашифрованных файлов и после этого создает заметки с требованием выкупа с именем !!! Предупреждение !!!в зараженной системе.

В заметках содержится угроза связаться со «поддержкой» RTM в течение 48 часов через Tox, чтобы договориться о выплате выкупа, иначе украденные данные жертвы будут опубликованы.

В прошлом RTM Locker использовал сайты переговоров о платежах на следующих сайтах TOR, но недавно для связи перешел на TOX.

Существования версии, ориентированной на ESXi, достаточно, чтобы отнести RTM Locker к серьезной угрозе для предприятия.