La versión Linux del ransomware RTM Locker apunta a servidores VMware ESXi

Jun 21, 2023

RTM Locker es la última operación de ransomware dirigida a empresas que implementa un cifrador de Linux dirigido a máquinas virtuales en servidores VMware ESXi.

La banda de ciberdelincuentes RTM (Read The Manual) ha estado activa en el fraude financiero desde al menos 2015, y es conocida por distribuir un troyano bancario personalizado utilizado para robar dinero de las víctimas.

Este mes, la empresa de ciberseguridad Trellix informó que RTM Locker había lanzado una nueva operación de ransomware como servicio (Raas) y había comenzado a reclutar afiliados, incluidos aquellos del antiguo sindicato de cibercrimen Conti.

"La pandilla Locker 'Read The Manual' utiliza afiliados para rescatar a las víctimas, quienes se ven obligadas a cumplir con las estrictas reglas de la pandilla", explica Trellix.

"La estructura empresarial del grupo, en la que los afiliados deben permanecer activos o avisar a la banda de su baja, muestra la madurez organizativa del grupo, como también se ha observado en otros grupos, como por ejemplo Conti."

El investigador de seguridad MalwareHunterTeam también compartió una muestra de RTM Locker con BleepingComputer en diciembre de 2022, lo que indica que este RaaS ha estado activo durante al menos cinco meses.

En ese momento, Trellix y MalwareHunterTeam solo habían visto un cifrador de ransomware para Windows, pero como informó ayer Uptycs, RTM ha ampliado su objetivo a servidores Linux y VMware ESXi.

En los últimos años, la empresa ha migrado a las máquinas virtuales (VM), ya que ofrecen una gestión de dispositivos mejorada y un manejo de recursos mucho más eficiente. Debido a esto, los servidores de una organización suelen estar distribuidos en una combinación de dispositivos dedicados y servidores VMware ESXi que ejecutan varios servidores virtuales.

Las operaciones de ransomware han seguido esta tendencia y han creado cifradores de Linux dedicados a los servidores ESXi para cifrar correctamente todos los datos utilizados por la empresa.

BleepingComputer ha visto esto con casi todas las operaciones de ransomware dirigidas a empresas, incluidas Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX, Hive y ahora RTM Locker.

En un nuevo informe de Uptycs, los investigadores analizaron una variante de Linux del RTM Locker que se basa en el código fuente filtrado del ahora desaparecido ransomware Babuk.

El cifrador RTM Locker Linux parece haber sido creado explícitamente para atacar sistemas VMware ESXi, ya que contiene numerosas referencias a comandos utilizados para administrar máquinas virtuales.

Cuando se inicia, el cifrador primero intentará cifrar todas las máquinas virtuales VMware ESXi recopilando primero una lista de máquinas virtuales en ejecución mediante el siguiente comando esxcli:

Luego, el cifrador finaliza todas las máquinas virtuales en ejecución mediante el siguiente comando:

Una vez finalizadas todas las máquinas virtuales, el cifrador comienza a cifrar archivos que tienen las siguientes extensiones de archivo: .log (archivos de registro), .vmdk (discos virtuales), .vmem (memoria de máquina virtual), .vswp (archivos de intercambio) y .vmsn (instantáneas de VM).

Todos estos archivos están asociados con máquinas virtuales que se ejecutan en VMware ESXi.

Al igual que Babuk, RTM utiliza una generación de números aleatorios y ECDH en Curve25519 para el cifrado asimétrico, pero en lugar de Sosemanuk, depende de ChaCha20 para el cifrado simétrico.

El resultado es seguro y aún no ha sido descifrado, por lo que no hay descifradores gratuitos disponibles para RTM Locker en este momento.

Uptycs también comenta que los algoritmos criptográficos se "implementan estáticamente" en el código binario, lo que hace que el proceso de cifrado sea más confiable.

Al cifrar archivos, el cifrador añade el.RTMextensión de archivo a los nombres de los archivos cifrados y, una vez hecho esto, crea notas de rescate llamadas !!! Advertencia !!!en el sistema infectado.

Las notas amenazan con contactar al "soporte" de RTM dentro de las 48 horas a través de Tox para negociar el pago de un rescate, o se publicarán los datos robados de la víctima.

En el pasado, RTM Locker utilizaba sitios de negociación de pagos en los siguientes sitios TOR, pero recientemente se trasladó a TOX para las comunicaciones.

La existencia de una versión dirigida a ESXi es suficiente para categorizar a RTM Locker como una amenaza importante para la empresa.

Sin embargo, la buena noticia es que la investigación de BleepingComputer ha demostrado que el grupo no es particularmente activo, aunque eso puede cambiar en el futuro.

La versión Linux del ransomware Abyss Locker apunta a servidores VMware ESXi

La versión Linux del ransomware Akira apunta a servidores VMware ESXi

La semana del ransomware: 4 de agosto de 2023: dirigido a VMware ESXi

Conozca a NoEscape: el probable sucesor de la banda de ransomware Avaddon

La semana del ransomware - 30 de junio de 2023 - Identidad equivocada