Các tác nhân đe dọa đằng sau RTM Locker đã phát triển một chủng ransomware có khả năng tấn công các máy Linux, đánh dấu bước đột phá đầu tiên của nhóm vào hệ điều hành nguồn mở.
Trong một báo cáo được công bố trong tuần này, Uptycs cho biết: “Phần mềm ransomware lây nhiễm các máy chủ Linux, NAS và ESXi và được phát triển trên mã nguồn bị rò rỉ của Babuk ransomware”. Nó sử dụng kết hợp ECDH trên Curve25519 (mã hóa bất đối xứng) và Chacha20 (mã hóa đối xứng) để mã hóa tệp”.
RTM Locker, được ghi nhận lần đầu tiên bởi Trellix vào đầu tháng này, đây là nhà cung cấp dịch vụ ransomware (RaaS) tư nhân và bắt nguồn từ một nhóm tội phạm mạng có tên là Read The Manual (RTM) có thể đã hoạt động từ năm 2015.
Nhóm này đáng chú ý vì cố tình tránh các mục tiêu nổi tiếng như cơ sở hạ tầng quan trọng, cơ quan thực thi pháp luật và bệnh viện để thu hút càng ít sự chú ý càng tốt. ngoài việc đánh cắp dữ liệu nếu nạn nhân từ chối thanh toán, nhóm lợi dụng nhiều chiêu trò khác để đòi tiền chuộc từ nạn nhân.
Mã độc này được thiết kế để cách li máy chủ ESXi bằng cách chặn các máy ảo đến máy chủ bị xâm nhập trước khi bắt đầu mã hóa. Hiện chưa xác nhận được nạn nhân đầu tiên bị lợi dụng để phân phối ransomware.
Uptycs giải thích: “Nó được biên dịch và loại bỏ tĩnh, làm cho kỹ thuật reverse trở nên khó khăn hơn và cho phép tệp nhị phân chạy trên nhiều hệ thống hơn”. “Chức năng mã hóa cũng sử dụng pthread (còn gọi là luồng POSIX ) để tăng tốc độ thực thi.”
Sau khi mã hóa thành công, nạn nhân được thông báo phải liên hệ với nhóm hỗ trợ trong vòng 48 giờ qua Tox hoặc dữ liệu của họ có nguy cơ bị công bố. Giải mã một tệp bị khóa bằng RTM Locker yêu cầu khóa chung được thêm vào cuối tệp được mã hóa và khóa riêng của kẻ tấn công.
Sự phát triển diễn ra khi Microsoft tiết lộ rằng các máy chủ PaperCut dễ bị tổn thương đang bị các tác nhân đe dọa tích cực nhắm mục tiêu để triển khai phần mềm tống tiền Cl0p và LockBit.
Nguồn: https://thehackernews.com/