Группировка RTM разработала новый вредонос для атак на системы Linux и ESXi

RTM RTM Locker Linux ESXi NAS Babuk ChaCha20 sosemanuk шифрование вымогательское ПО RaaS
Группировка RTM разработала новый вредонос для атак на системы Linux и ESXi
RTM RTM Locker Linux ESXi NAS Babuk ChaCha20 sosemanuk шифрование вымогательское ПО RaaS

Программа-вымогатель основана на коде Babuk и позволяет проводить незаметные разрушительные атаки.

image

Специалисты ИБ-компании Uptycs сообщают, что группировка RTM (Read The Manual) , поставщик RaaS-решения RTM Locker, разработала новый вариант программы-вымогателя, предназначенный для атак на компьютеры на базе Linux. Программа-вымогатель способна заражать хосты Linux, ESXi и NAS.

Согласно Uptycs , RTM Locker для Linux специально предназначен для хостов ESXi, поскольку включает в себя две связанные команды. Исследователи безопасности выделили несколько особенностей RTM Locker:

  • Программа использует асимметричное и симметричное шифрование, что делает невозможным расшифровку файлов без закрытого ключа;
  • Первоначальный вектор атаки в настоящее время неизвестен. Известно только то, что после успешного шифрования жертвам предлагается связаться с хакерами в течение 48 часов через «тёмный» мессенджер Tox. Киберпреступники обещают, что выложат украденные данные в сеть, если жертва не свяжется с ними. Для этих целей группа использует аффилированных лиц;
  • RTM Locker атакует хосты ESXi, останавливая все активные виртуальные машины на хосте до начала процесса шифрования. Примечательно, что группа намеренно не атакует правоохранительные органы, объекты критической инфраструктуры и больницы.

Эксперты предполагают, что программа RTM Locker основана на исходном коде программы-вымогателя Babuk, который был слит в сеть в 2021 году . Специалисты заметили, что Babuk и RTM Locker используют один и тот же метод генерации случайных чисел и асимметричное шифрование.

Стоит отметить, что для симметричного шифрования Babuk использует алгоритм «sosemanuk», а «RTM Locker» использует ChaCha20. Также для шифрования программа использует эллиптическую кривую Диффи-Хеллмана (ECDH) как для асимметричного шифрования (через алгоритм Curve25519), так и для симметричного шифрования (через алгоритм ChaCha20).

RTM Locker уже представляет собой сложную задачу для реверс-инжиниринга и имеет сходство с утекшим кодом программы-вымогателя Babuk. Кроме того, разновидность программы-вымогателя для Linux нацелена на хосты NAS/ESXi. Эксперты предлагают использовать инструмент YARA или сторонний инструмент для сканирования подозрительных процессов, чтобы оставаться в безопасности.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь