Dòng mã độc tống tiền Linux đầu tiên của RTM Locker nhắm mục tiêu vào máy chủ lưu trữ NAS và ESXi

Ngày 27 tháng 4 năm 2023Ravie LakshmananLinux / Bảo mật điểm cuối

Các tác nhân đe dọa đằng sau Tủ khóa RTM đã phát triển một chủng ransomware có khả năng nhắm mục tiêu vào các máy Linux, đánh dấu bước đột phá đầu tiên của nhóm vào hệ điều hành nguồn mở.

Uptycs cho biết trong một báo cáo mới được công bố hôm thứ Tư: “Phần mềm ransomware khóa của nó lây nhiễm các máy chủ Linux, NAS và ESXi và dường như được truyền cảm hứng từ mã nguồn bị rò rỉ của Babuk ransomware. “Nó sử dụng kết hợp ECDH trên Curve25519 (mã hóa bất đối xứng) và Chacha20 (mã hóa đối xứng) để mã hóa tệp.”

RTM Locker lần đầu tiên được ghi lại bởi Trellix vào đầu tháng này, mô tả đối thủ là nhà cung cấp dịch vụ ransomware (RaaS) tư nhân. Nó bắt nguồn từ một nhóm tội phạm mạng có tên là Read The Manual (RTM) được biết là đã hoạt động ít nhất từ ​​năm 2015.

Nhóm này đáng chú ý vì cố tình tránh các mục tiêu nổi tiếng như cơ sở hạ tầng quan trọng, cơ quan thực thi pháp luật và bệnh viện để thu hút càng ít sự chú ý càng tốt. Nó cũng tận dụng các chi nhánh để đòi tiền chuộc nạn nhân, ngoài việc rò rỉ dữ liệu bị đánh cắp nếu họ từ chối thanh toán.

Hương vị Linux được thiết kế đặc biệt để loại bỏ các máy chủ ESXi bằng cách chấm dứt tất cả các máy ảo đang chạy trên một máy chủ bị xâm nhập trước khi bắt đầu quá trình mã hóa. Người lây nhiễm ban đầu chính xác được sử dụng để phân phối ransomware hiện chưa được biết.

Uptycs giải thích: “Nó được biên dịch và loại bỏ một cách tĩnh, làm cho kỹ thuật đảo ngược trở nên khó khăn hơn và cho phép tệp nhị phân chạy trên nhiều hệ thống hơn”. “Chức năng mã hóa cũng sử dụng pthread (còn gọi là luồng POSIX) để tăng tốc độ thực thi.”

Sau khi mã hóa thành công, nạn nhân được khuyến khích liên hệ với nhóm hỗ trợ trong vòng 48 giờ qua Tox hoặc có nguy cơ bị công bố dữ liệu của họ. Giải mã một tệp bị khóa bằng RTM Locker yêu cầu khóa chung được thêm vào cuối tệp được mã hóa và khóa riêng của kẻ tấn công.

Sự phát triển diễn ra khi Microsoft tiết lộ rằng các máy chủ PaperCut dễ bị tổn thương đang được các tác nhân đe dọa tích cực nhắm mục tiêu để triển khai phần mềm tống tiền Cl0p và LockBit.