Новости Группировка RTM разработала новый вредонос для атак на системы Linux и ESXi

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Программа-вымогатель основана на коде Babuk и позволяет проводить незаметные разрушительные атаки.


21pr800g8458q064vz0kwnc2qbgvqdyl.jpg


Специалисты ИБ-компании Uptycs сообщают, что группировка Для просмотра ссылки Войди или Зарегистрируйся , поставщик RaaS -решения RTM Locker, разработала новый вариант программы-вымогателя, предназначенный для атак на компьютеры на базе Linux . Программа-вымогатель способна заражать хосты Linux, ESXi и NAS .

Согласно Для просмотра ссылки Войди или Зарегистрируйся , RTM Locker для Linux специально предназначен для хостов ESXi, поскольку включает в себя две связанные команды. Исследователи безопасности выделили несколько особенностей RTM Locker:

  • Программа использует асимметричное и симметричное шифрование , что делает невозможным расшифровку файлов без закрытого ключа;
  • Первоначальный вектор атаки в настоящее время неизвестен. Известно только то, что после успешного шифрования жертвам предлагается связаться с хакерами в течение 48 часов через «тёмный» мессенджер Tox. Киберпреступники обещают, что выложат украденные данные в сеть, если жертва не свяжется с ними. Для этих целей группа использует аффилированных лиц;
  • RTM Locker атакует хосты ESXi, останавливая все активные виртуальные машины на хосте до начала процесса шифрования. Примечательно, что группа намеренно не атакует правоохранительные органы, объекты критической инфраструктуры и больницы.
Эксперты предполагают, что программа RTM Locker основана на исходном коде программы-вымогателя Babuk, который Для просмотра ссылки Войди или Зарегистрируйся . Специалисты заметили, что Babuk и RTM Locker используют один и тот же метод генерации случайных чисел и асимметричное шифрование.

Стоит отметить, что для симметричного шифрования Babuk использует алгоритм «sosemanuk», а «RTM Locker» использует ChaCha20. Также для шифрования программа использует эллиптическую кривую Диффи-Хеллмана (ECDH) как для асимметричного шифрования (через алгоритм Curve25519), так и для симметричного шифрования (через алгоритм ChaCha20).

RTM Locker уже представляет собой сложную задачу для реверс-инжиниринга и имеет сходство с утекшим кодом программы-вымогателя Babuk. Кроме того, разновидность программы-вымогателя для Linux нацелена на хосты NAS/ESXi. Эксперты предлагают использовать инструмент YARA или сторонний инструмент для сканирования подозрительных процессов, чтобы оставаться в безопасности.
 
Источник новости
www.securitylab.ru

Похожие темы