Cyberprzestępcy stojący za RTM Locker opracowali odmianę ransomware, która jest w stanie atakować maszyny z systemem Linux, co jest pierwszym atakiem grupy na system operacyjny typu open source.

„Oprogramowanie typu locker ransomware infekuje hosty Linux, NAS i ESXi i wydaje się być inspirowane wyciekiem kodu źródłowego oprogramowania ransomware Babuk” — powiedział Uptycs w nowym raporcie opublikowanym w środę. „Wykorzystuje kombinację ECDH na Curve25519 (szyfrowanie asymetryczne) i Chacha20 (szyfrowanie symetryczne) do szyfrowania plików”.

RTM Locker został po raz pierwszy udokumentowany przez Trellix na początku tego miesiąca, opisując go jako prywatnego dostawcę ransomware-as-a-service (RaaS). Ma swoje korzenie w grupie cyberprzestępczej o nazwie Read The Manual (RTM), o której wiadomo, że jest aktywna od co najmniej 2015 roku.

Grupa wyróżnia się celowym unikaniem głośnych celów, takich jak infrastruktura krytyczna, organy ścigania i szpitale, aby przyciągnąć jak najmniej uwagi. Wykorzystuje również podmioty stowarzyszone do okupu ofiar, oprócz wycieku skradzionych danych, jeśli odmówią zapłaty.

Odmiana Linuksa jest specjalnie nastawiona na wyróżnianie hostów ESXi poprzez wygaszanie wszystkich maszyn wirtualnych działających na zaatakowanym hoście przed rozpoczęciem procesu szyfrowania. Dokładny początkowy infektor użyty do dostarczenia oprogramowania ransomware jest obecnie nieznany.

„Jest statycznie kompilowany i usuwany, co utrudnia inżynierię wsteczną i umożliwia uruchamianie pliku binarnego na większej liczbie systemów” — wyjaśnił Uptycs. „Funkcja szyfrowania wykorzystuje również wątki pthreads (inaczej wątki POSIX) w celu przyspieszenia wykonywania”.

Po pomyślnym zaszyfrowaniu ofiary są proszone o skontaktowanie się z zespołem pomocy technicznej w ciągu 48 godzin za pośrednictwem Tox. Odszyfrowanie pliku zablokowanego za pomocą RTM Locker wymaga klucza publicznego dołączonego na końcu zaszyfrowanego pliku oraz klucza prywatnego atakującego.

Rozwój nastąpił, gdy Microsoft ujawnił, że podatne serwery PaperCut są aktywnie atakowane przez cyberprzestępców w celu wdrożenia oprogramowania ransomware Cl0p i LockBit.

źródło: https://thehackernews.com/2023/04/rtm-lockers-first-linux-ransomware.html?&web_view=true