La versione Linux del ransomware RTM Locker prende di mira i server VMware ESXi

Jun 21, 2023

RTM Locker è l'ultima operazione ransomware mirata alle aziende che distribuisce un crittografo Linux che prende di mira le macchine virtuali sui server VMware ESXi.

La banda di criminali informatici RTM (Leggi il manuale) è attiva nelle frodi finanziarie almeno dal 2015, nota per aver distribuito un trojan bancario personalizzato utilizzato per rubare denaro alle vittime.

Questo mese, la società di sicurezza informatica Trellix ha riferito che RTM Locker aveva lanciato una nuova operazione Ransomware-as-a-Service (Raas) e aveva iniziato a reclutare affiliati, compresi quelli dell'ex sindacato del crimine informatico Conti.

"La banda degli armadietti 'Leggi il manuale' utilizza gli affiliati per riscattare le vittime, le quali sono tutte costrette a rispettare le rigide regole della banda", spiega Trellix.

"L'impostazione imprenditoriale del gruppo, in cui gli affiliati sono tenuti a restare attivi o a notificare la partenza alla banda, dimostra la maturità organizzativa del gruppo, come è stato osservato anche in altri gruppi, come Conti."

Il ricercatore di sicurezza MalwareHunterTeam ha anche condiviso un campione di RTM Locker con BleepingComputer nel dicembre 2022, indicando che questo RaaS è attivo da almeno cinque mesi.

All'epoca, Trellix e MalwareHunterTeam avevano visto solo un crittografo ransomware Windows, ma come riportato ieri da Uptycs, RTM ha ampliato il suo targeting ai server Linux e VMware ESXi.

Negli ultimi anni, l'azienda è passata alle macchine virtuali (VM) poiché offrono una migliore gestione dei dispositivi e una gestione delle risorse molto più efficiente. Per questo motivo, i server di un'organizzazione sono comunemente distribuiti su un mix di dispositivi dedicati e server VMware ESXi che eseguono più server virtuali.

Le operazioni di ransomware hanno seguito questa tendenza e creato crittografi Linux dedicati a prendere di mira i server ESXi per crittografare correttamente tutti i dati utilizzati dall'azienda.

BleepingComputer lo ha riscontrato con quasi tutte le operazioni di ransomware rivolte alle aziende, tra cui Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX, Hive e ora RTM Locker.

In un nuovo rapporto di Uptycs, i ricercatori hanno analizzato una variante Linux dell'RTM Locker basata sul codice sorgente trapelato dell'ormai defunto ransomware Babuk.

Il crittografo RTM Locker Linux sembra essere stato creato esplicitamente per attaccare i sistemi VMware ESXi, poiché contiene numerosi riferimenti ai comandi utilizzati per gestire le macchine virtuali.

Una volta avviato, il sistema di crittografia tenterà innanzitutto di crittografare tutte le macchine virtuali VMware ESXi raccogliendo prima un elenco di VM in esecuzione utilizzando il seguente comando esxcli:

Il crittografo termina quindi tutte le macchine virtuali in esecuzione utilizzando il seguente comando:

Dopo che tutte le VM sono state terminate, il crittografatore inizia a crittografare i file che hanno le seguenti estensioni di file: .log (file di registro), .vmdk (dischi virtuali), .vmem (memoria della macchina virtuale), .vswp (file di scambio) e .vmsn (istantanee della VM).

Tutti questi file sono associati alle macchine virtuali in esecuzione su VMware ESXi.

Come Babuk, RTM utilizza una generazione di numeri casuali e ECDH su Curve25519 per la crittografia asimmetrica, ma invece di Sosemanuk, si affida a ChaCha20 per la crittografia simmetrica.

Il risultato è sicuro e non è stato ancora violato, quindi al momento non sono disponibili decryptor gratuiti per RTM Locker.

Uptycs commenta inoltre che gli algoritmi crittografici sono "implementati staticamente" nel codice binario, rendendo il processo di crittografia più affidabile.

Quando si crittografano i file, il crittografo aggiunge l'estensione.RTMestensione del file ai nomi dei file crittografati e, al termine, crea richieste di riscatto denominate !!! Avvertimento !!!sul sistema infetto.

Le note minacciano di contattare il "supporto" di RTM entro 48 ore tramite Tox per negoziare il pagamento di un riscatto, altrimenti i dati rubati della vittima verranno pubblicati.

In passato, RTM Locker utilizzava siti di negoziazione dei pagamenti sui seguenti siti TOR, ma recentemente è passato a TOX per le comunicazioni.

L'esistenza di una versione mirata a ESXi è sufficiente per classificare RTM Locker come una minaccia significativa per l'azienda.