Команда исследователей угроз Uptycs обнаружила новый файл ransomware, приписываемый группе RTM, известному поставщику ransomware-as-a-service (RaaS). Это первый случай, когда группа создала бинарный файл для Linux. Его вымогательское ПО Locker заражает хосты Linux, NAS и ESXi и, похоже, вдохновлено просочившимся исходным кодом Babuk ransomware. Для шифрования файлов она использует комбинацию ECDH на Curve25519 (асимметричное шифрование) и Chacha20 (симметричное шифрование).
RTM Locker был обнаружен во время охоты Uptycs в темной паутине. Его вредоносная программа ориентирована именно на хосты ESXi, поскольку содержит две соответствующие команды. Начальный вектор доступа остается неизвестным. Асимметричное и симметричное шифрование делает невозможным расшифровку файлов без закрытого ключа злоумышленника.
Заметное сходство между RTM Locker и Babuk ransomware включает генерацию случайных чисел в дополнение к использованию ECDH в Curve25519 для асимметричного шифрования. Babuk немного отличается от RTM Locker тем, что использует sosemanuk для асимметричного шифрования, в то время как RTM Locker использует ChaCha20.
Indicators of Compromise
SHA256
- 55b85e76abb172536c64a8f6cf4101f943ea826042826759ded4ce46adc00638
- b376d511fb69085b1d28b62be846d049629079f4f4f826fd0f46df26378e398b
- d68c99d7680bf6a4644770edfe338b8d0591dfe143278412d5ed62848ffc99e0
