Versão Linux do ransomware RTM Locker tem como alvo servidores VMware ESXi

Jun 21, 2023

RTM Locker é a mais recente operação de ransomware voltada para empresas que implanta um criptografador Linux direcionado a máquinas virtuais em servidores VMware ESXi.

A gangue de crimes cibernéticos RTM (Leia o Manual) atua em fraudes financeiras desde pelo menos 2015, conhecida por distribuir um trojan bancário personalizado usado para roubar dinheiro das vítimas.

Este mês, a empresa de segurança cibernética Trellix informou que a RTM Locker lançou uma nova operação Ransomware-as-a-Service (Raas) e começou a recrutar afiliados, incluindo aqueles do antigo sindicato do crime cibernético Conti.

“A gangue Locker 'Read The Manual' usa afiliados para resgatar as vítimas, todas elas forçadas a cumprir as regras estritas da gangue”, explica Trellix.

“A configuração empresarial do grupo, onde os afiliados são obrigados a permanecer ativos ou notificar a gangue de sua saída, mostra a maturidade organizacional do grupo, como também foi observado em outros grupos, como o Conti”.

O pesquisador de segurança MalwareHunterTeam também compartilhou uma amostra do RTM Locker com o BleepingComputer em dezembro de 2022, indicando que este RaaS está ativo há pelo menos cinco meses.

Na época, Trellix e MalwareHunterTeam tinham visto apenas um criptografador de ransomware para Windows, mas como Uptycs relatou ontem, a RTM expandiu sua segmentação para servidores Linux e VMware ESXi.

Nos últimos anos, a empresa migrou para máquinas virtuais (VMs), pois elas oferecem gerenciamento aprimorado de dispositivos e gerenciamento de recursos muito mais eficiente. Devido a isso, os servidores de uma organização geralmente estão espalhados por uma combinação de dispositivos dedicados e servidores VMware ESXi executando vários servidores virtuais.

As operações de ransomware seguiram essa tendência e criaram criptografadores Linux dedicados a servidores ESXi para criptografar adequadamente todos os dados usados ​​pela empresa.

BleepingComputer viu isso com quase todas as operações de ransomware voltadas para empresas, incluindo Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX, Hive e agora, RTM Locker.

Em um novo relatório da Uptycs, os pesquisadores analisaram uma variante Linux do RTM Locker que é baseada no código-fonte vazado do agora extinto ransomware Babuk.

O criptografador RTM Locker Linux parece ter sido criado explicitamente para atacar sistemas VMware ESXi, pois contém inúmeras referências a comandos usados ​​para gerenciar máquinas virtuais.

Quando iniciado, o criptografador tentará primeiro criptografar todas as máquinas virtuais VMware ESXi reunindo primeiro uma lista de VMs em execução usando o seguinte comando esxcli:

O criptografador então encerra todas as máquinas virtuais em execução usando o seguinte comando:

Depois que todas as VMs forem encerradas, o criptografador começa a criptografar arquivos que possuem as seguintes extensões de arquivo - .log (arquivos de log), .vmdk (discos virtuais), .vmem (memória de máquina virtual), .vswp (arquivos de troca) e .vmsn (instantâneos de VM).

Todos esses arquivos estão associados a máquinas virtuais em execução no VMware ESXi.

Assim como Babuk, o RTM usa geração de números aleatórios e ECDH no Curve25519 para criptografia assimétrica, mas em vez de Sosemanuk, ele depende do ChaCha20 para criptografia simétrica.

O resultado é seguro e ainda não foi quebrado, portanto não há decodificadores gratuitos disponíveis para o RTM Locker no momento.

Uptycs também comenta que os algoritmos criptográficos são “implementados estaticamente” no código binário, tornando o processo de criptografia mais confiável.

Ao criptografar arquivos, o criptografador anexa o.RTMextensão de arquivo para nomes de arquivos criptografados e, depois de feito isso, cria notas de resgate chamadas !!! Aviso !!!no sistema infectado.

As notas ameaçam entrar em contato com o “suporte” da RTM dentro de 48 horas via Tox para negociar o pagamento do resgate, ou os dados roubados da vítima serão publicados.

No passado, o RTM Locker usava sites de negociação de pagamento nos seguintes sites TOR, mas mudou recentemente para o TOX para comunicações.

A existência de uma versão direcionada ao ESXi é suficiente para categorizar o RTM Locker como uma ameaça significativa para a empresa.