Программа-вымогатель основана на коде Babuk и позволяет проводить незаметные разрушительные атаки.
Специалисты ИБ-компании Uptycs сообщают, что группировка Для просмотра ссылки Войдиили Зарегистрируйся , поставщик RaaS -решения RTM Locker, разработала новый вариант программы-вымогателя, предназначенный для атак на компьютеры на базе Linux . Программа-вымогатель способна заражать хосты Linux, ESXi и NAS .
Согласно Для просмотра ссылки Войдиили Зарегистрируйся , RTM Locker для Linux специально предназначен для хостов ESXi, поскольку включает в себя две связанные команды. Исследователи безопасности выделили несколько особенностей RTM Locker:
или Зарегистрируйся . Специалисты заметили, что Babuk и RTM Locker используют один и тот же метод генерации случайных чисел и асимметричное шифрование.
Стоит отметить, что для симметричного шифрования Babuk использует алгоритм «sosemanuk», а «RTM Locker» использует ChaCha20. Также для шифрования программа использует эллиптическую кривую Диффи-Хеллмана (ECDH) как для асимметричного шифрования (через алгоритм Curve25519), так и для симметричного шифрования (через алгоритм ChaCha20).
RTM Locker уже представляет собой сложную задачу для реверс-инжиниринга и имеет сходство с утекшим кодом программы-вымогателя Babuk. Кроме того, разновидность программы-вымогателя для Linux нацелена на хосты NAS/ESXi. Эксперты предлагают использовать инструмент YARA или сторонний инструмент для сканирования подозрительных процессов, чтобы оставаться в безопасности.
Специалисты ИБ-компании Uptycs сообщают, что группировка Для просмотра ссылки Войди
Согласно Для просмотра ссылки Войди
- Программа использует асимметричное и симметричное шифрование , что делает невозможным расшифровку файлов без закрытого ключа;
- Первоначальный вектор атаки в настоящее время неизвестен. Известно только то, что после успешного шифрования жертвам предлагается связаться с хакерами в течение 48 часов через «тёмный» мессенджер Tox. Киберпреступники обещают, что выложат украденные данные в сеть, если жертва не свяжется с ними. Для этих целей группа использует аффилированных лиц;
- RTM Locker атакует хосты ESXi, останавливая все активные виртуальные машины на хосте до начала процесса шифрования. Примечательно, что группа намеренно не атакует правоохранительные органы, объекты критической инфраструктуры и больницы.
Стоит отметить, что для симметричного шифрования Babuk использует алгоритм «sosemanuk», а «RTM Locker» использует ChaCha20. Также для шифрования программа использует эллиптическую кривую Диффи-Хеллмана (ECDH) как для асимметричного шифрования (через алгоритм Curve25519), так и для симметричного шифрования (через алгоритм ChaCha20).
RTM Locker уже представляет собой сложную задачу для реверс-инжиниринга и имеет сходство с утекшим кодом программы-вымогателя Babuk. Кроме того, разновидность программы-вымогателя для Linux нацелена на хосты NAS/ESXi. Эксперты предлагают использовать инструмент YARA или сторонний инструмент для сканирования подозрительных процессов, чтобы оставаться в безопасности.
- Источник новости
- www.securitylab.ru