O RTM Locker é a mais recente operação de ransomware direcionada a empresas que foi encontrada usando um criptografador Linux que ataca máquinas virtuais em servidores VMware ESXi.
A gangue de cibercrime RTM (Read The Manual) está ativa em fraudes financeiras desde pelo menos 2015, conhecida por distribuir um trojan bancário personalizado usado para roubar dinheiro das vítimas.
Neste mês, a empresa de cibersegurança Trellix informou que o RTM Locker havia lançado uma nova operação de Ransomware-as-a-Service (Raas) e começou a recrutar afiliados, incluindo os do antigo sindicato de cibercrime Conti.
"A gangue 'Read The Manual' Locker usa afiliados para sequestrar vítimas, todos os quais são obrigados a obedecer às regras estritas da gangue", explica a Trellix.
"A configuração empresarial do grupo, onde os afiliados são obrigados a permanecer ativos ou notificar a gangue de sua saída, mostra a maturidade organizacional do grupo, como também foi observado em outros grupos, como o Conti".
O pesquisador de segurança MalwareHunterTeam também compartilhou uma amostra do RTM Locker com o BleepingComputer em dezembro de 2022, indicando que este RaaS está ativo há pelo menos cinco meses.
Na época, a Trellix e o MalwareHunterTeam só haviam visto um criptografador de ransomware do Windows, mas como a Uptycs relatou ontem, o RTM expandiu seu alvo para Linux e servidores VMware ESXi.
Nos últimos anos, as empresas mudaram para máquinas virtuais (VMs), pois oferecem um gerenciamento de dispositivos aprimorado e um manuseio de recursos muito mais eficiente.
Devido a isso, os servidores de uma organização estão comumente espalhados por uma mistura de dispositivos dedicados e servidores VMware ESXi que executam vários servidores virtuais.
As operações de ransomware seguiram essa tendência e criaram criptografadores Linux dedicados a atacar servidores ESXi para criptografar todos os dados usados pela empresa adequadamente.
O BleepingComputer viu isso com quase todas as operações de ransomware direcionadas a empresas, incluindo Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX, Hive e agora, RTM Locker.
Em um novo relatório da Uptycs, pesquisadores analisaram uma variante Linux do RTM Locker que é baseada no código-fonte vazado do ransomware Babuk, agora extinto.
O criptografador Linux do RTM Locker parece ter sido criado especificamente para atacar sistemas VMware ESXi, pois contém inúmeras referências a comandos usados para gerenciar máquinas virtuais.
Quando lançado, o criptografador primeiro tentará criptografar todas as máquinas virtuais VMware ESXi reunindo uma lista de VMs em execução usando o seguinte comando esxcli.
O criptografador, em seguida, termina todas as máquinas virtuais em execução usando o seguinte comando.
Depois que todas as VMs são encerradas, o criptografador começa a criptografar arquivos que têm as seguintes extensões de arquivo: .log (arquivos de log), .vmdk (discos virtuais), .vmem (memória da máquina virtual), .vswp (arquivos de troca) e .vmsn (instantâneos da VM).
Todos esses arquivos estão associados a máquinas virtuais em execução no VMware ESXi.
Como o Babuk, o RTM usa uma geração de números aleatórios e ECDH na Curve25519 para criptografia assimétrica, mas, em vez de Sosemanuk, ele depende do ChaCha20 para criptografia simétrica.
O resultado é seguro e ainda não foi quebrado, portanto não há decryptors gratuitos disponíveis para o RTM Locker no momento.
A Uptycs também comenta que os algoritmos criptográficos são "implementados estaticamente" no código binário, tornando o processo de criptografia mais confiável.
Ao criptografar arquivos, o criptografador anexa a extensão de arquivo .RTM aos nomes dos arquivos criptografados e, quando termina, cria notas de resgate chamadas !!! Warning !!! no sistema infectado.
As notas ameaçam entrar em contato com o "suporte" da RTM no prazo de 48 horas via Tox para negociar um pagamento de resgate, ou os dados roubados da vítima serão publicados.
No passado, o RTM Locker usava sites de negociação de pagamento nos seguintes sites TOR, mas mudou recentemente para TOX para comunicações.
A existência de uma versão direcionada ao ESXi é suficiente para categorizar o RTM Locker como uma ameaça significativa às empresas.
No entanto, a boa notícia é que a pesquisa do BleepingComputer mostrou que o grupo não é particularmente ativo, embora isso possa mudar no futuro.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...