Первый штамм вируса-вымогателя RTM Locker для Linux, нацеленный на хосты NAS и ESXi

[BlackBet]

Программы-вымогатели для Linux
Злоумышленники, стоящие за RTM Locker, разработали штамм программы-вымогателя, способный атаковать машины Linux, что стало первым набегом группы на операционную систему с открытым исходным кодом.

«Его программа-вымогатель для шкафчиков заражает хосты Linux, NAS и ESXi и, похоже, вдохновлена утечкой исходного кода программы-вымогателя Babuk », — говорится в новом отчете Uptycs , опубликованном в среду. «Он использует комбинацию ECDH на Curve25519 (асимметричное шифрование) и Chacha20 (симметричное шифрование) для шифрования файлов».

RTM Locker был впервые задокументирован Trellix ранее в этом месяце, описывая его разработчиков как частного поставщика программ-вымогателей как услуги (RaaS). Он берет свое начало в группе киберпреступников под названием Read The Manual (RTM), которая, как известно, активна как минимум с 2015 года.

Группа известна тем, что намеренно избегает громких целей, таких как критическая инфраструктура, правоохранительные органы и больницы, чтобы привлечь как можно меньше внимания. Он также использует аффилированных лиц для выкупа жертв, в дополнение к утечке украденных данных, если они отказываются платить.

Разновидность Linux специально предназначена для выделения хостов ESXi путем завершения работы всех виртуальных машин, работающих на скомпрометированном хосте, до начала процесса шифрования. Точный первоначальный заразитель, использованный для доставки программы-вымогателя, в настоящее время неизвестен.

Хосты NAS и ESXi
«Он статически компилируется и удаляется, что усложняет обратный инжиниринг и позволяет исполняемому файлу работать на большем количестве систем», — объяснил Uptycs. «Функция шифрования также использует pthreads (также известные как POSIX-потоки ) для ускорения выполнения».


После успешного шифрования жертвам рекомендуется связаться со службой поддержки в течение 48 часов через Tox, иначе они рискуют опубликовать свои данные. Для расшифровки файла, заблокированного с помощью RTM Locker, требуется открытый ключ, добавленный в конец зашифрованного файла, и закрытый ключ злоумышленника.

Это произошло после того, как Microsoft сообщила , что уязвимые серверы PaperCut активно используются злоумышленниками для развертывания программ-вымогателей Cl0p и LockBit.

 

[RTM]

Не верьте ни единому слову

 

[micheal45_45]

Ransomware for Linux
The attackers behind RTM Locker have developed a ransomware strain capable of attacking Linux machines, marking the group's first foray into an open source operating system.

“Its locker ransomware infects Linux, NAS and ESXi hosts and appears to be inspired by the Babuk ransomware source code leak,” according to a new Uptycs report posted on Wednesday. "It uses a combination of ECDH on Curve25519 (asymmetric encryption) and Chacha20 (symmetric encryption) to encrypt files."

RTM Locker was first documented by Trellix earlier this month, describing its developers as a private ransomware-as-a-service (RaaS) provider. It has its origins in a cybercriminal group called Read The Manual (RTM), which has been known to be active since at least 2015.

The group is known for deliberately avoiding high-profile targets such as critical infrastructure, law enforcement, and hospitals in order to draw as little attention as possible. It also uses affiliates to ransom victims, in addition to leaking stolen data if they refuse to pay.

A flavor of Linux is specifically designed to isolate ESXi hosts by shutting down all virtual machines running on the compromised host before the encryption process begins. The exact original infector used to deliver the ransomware is currently unknown.

NAS and ESXi hosts
"It's statically compiled and removed, which makes it harder to reverse engineer and allows the executable to run on more systems," Uptycs explained. "The encryption function also uses pthreads (also known as POSIX threads) to speed up execution."


After successful encryption, victims are advised to contact support within 48 hours via Tox, otherwise they risk making their data public. Decrypting a file locked with RTM Locker requires a public key appended to the end of the encrypted file and the attacker's private key.

This comes after Microsoft reported that vulnerable PaperCut servers are being actively used by attackers to deploy Cl0p and LockBit ransomware.

dude i wanted to see your other posts but you have restricted access to your profile. would you open it for me?