Første Linux-variant af RTM-locker

Af Eskil Sørensen, 03/05/23

Ny gruppe lancerer ny ransomware og nyt aktivitets- og loyalitetsprogram.

RTM ransomware-as-a-service (RaaS) er begyndt at tilbyde Locker ransomware, der er rettet mod Linux-, NAS- og ESXi-systemer.

Det skriver Security Affairs.

Det er et threat intelligence-team hos sikkerhedsvirksomheden Uptycs, der har opdaget en variant af en kryptering, der er rettet mod Linux-, NAS- og ESXi-hosts. Den ser ud til at være baseret på kildekoden til Babuk ransomware, der blev lækket online i 2021.

Strenge regler 

Selve teknikken blev beskrevet første gang af researchere fra cybersikkerhedsfirmaet Trellix. Den anvendes af en ny cyberkriminel bande, der kaldes 'Read The Manual RTM Locker'. Gruppen driver en ransomware-as-a-service (RaaS) og leverer sin kode til et netværk af tilknyttede selskaber. Særligt ved denne gruppe er, at den pålægger de tilknyttede selskaber strenge regler for at sikre, at der bliver fløjet under radaren'. Ransomwaren angriber tilsyneladende ikke systemer i CIS-regionen, dvs. lande i sammenslutningen Commonwealth of Independent States, der findes i Eurasien.

Gruppen undgår også angreb mod sundhedsorganisationer, kritisk infrastruktur, politimyndigheder og andre fremtrædende virksomheder for at tiltrække så lidt opmærksomhed som muligt.

Ubetinget loyalitet og aktivitet

For at være tilknyttet gruppens variant af ransomwaren skal de samarbejdende selskaber forpligte sig til at være aktive. Ellers vil deres konto blive fjernet efter 10 dage uden varsel. Et slags aktivitets- og loyalitetsprogram. Samtidig skal selskaberne holde malwaren builds fortrolige for at hindre, at de kan analyseres. Et element i det er, som researcherne har opdaget, at prøverne på kildekoden indeholder en selvsletningsmekanisme. Denne bliver aktiveret, når ofrets enhed er krypteret.

Gruppen truer også med udelukke enhver ’affiliate’, der udtager leakage-test.

RTM Locker retter sig ifølge Uptyc specifikt mod ESXi-værter. Analysen lyder, at der anvendes både asymmetrisk og symmetrisk kryptering, hvilket gør det umuligt at dekryptere filer uden angriberens private nøgle. Dens indledende adgangsvektor er pt. ukendt.  

Når filerne er krypteret, lægges en løsesumseddel i hver mappe, der indeholder de krypterede filer. Notatet indeholder instruktioner om at kontakte operatørerne via Tox. Gruppen truer med at lække stjålne filer, hvis ofrene ikke kontakter gruppen inden for 48 timer.

Links:

https://securityaffairs.com/145383/cyber-crime/linux-rtm-locker.html

Keywords: 
Linux
ransomware