Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Группировка RTM разработала новый вредонос для атак на системы Linux и ESXi

02/05/23

hack75-May-02-2023-10-13-35-8172-AM

Специалисты ИБ-компании Uptycs сообщают, что группировка RTM (Read The Manual) , поставщик RaaS-решения RTM Locker, разработала новый вариант программы-вымогателя, предназначенный для атак на компьютеры на базе Linux. Программа-вымогатель способна заражать хосты Linux, ESXi и NAS.

Согласно Uptycs, пишет Securitylab, RTM Locker для Linux специально предназначен для хостов ESXi, поскольку включает в себя две связанные команды. Исследователи безопасности выделили несколько особенностей RTM Locker:

  • Программа использует асимметричное и симметричное шифрование, что делает невозможным расшифровку файлов без закрытого ключа;
  • Первоначальный вектор атаки в настоящее время неизвестен. Известно только то, что после успешного шифрования жертвам предлагается связаться с хакерами в течение 48 часов через «тёмный» мессенджер Tox. Киберпреступники обещают, что выложат украденные данные в сеть, если жертва не свяжется с ними. Для этих целей группа использует аффилированных лиц;
  • RTM Locker атакует хосты ESXi, останавливая все активные виртуальные машины на хосте до начала процесса шифрования. Примечательно, что группа намеренно не атакует правоохранительные органы, объекты критической инфраструктуры и больницы.

Эксперты предполагают, что программа RTM Locker основана на исходном коде программы-вымогателя Babuk, который был слит в сеть в 2021 году. Специалисты заметили, что Babuk и RTM Locker используют один и тот же метод генерации случайных чисел и асимметричное шифрование.

Стоит отметить, что для симметричного шифрования Babuk использует алгоритм «sosemanuk», а «RTM Locker» использует ChaCha20. Также для шифрования программа использует эллиптическую кривую Диффи-Хеллмана (ECDH) как для асимметричного шифрования (через алгоритм Curve25519), так и для симметричного шифрования (через алгоритм ChaCha20).

RTM Locker уже представляет собой сложную задачу для реверс-инжиниринга и имеет сходство с утекшим кодом программы-вымогателя Babuk. Кроме того, разновидность программы-вымогателя для Linux нацелена на хосты NAS/ESXi. Эксперты предлагают использовать инструмент YARA или сторонний инструмент для сканирования подозрительных процессов, чтобы оставаться в безопасности.

Темы:LinuxУгрозыRTM GroupUptycs
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...