RTM Locker背后的威胁参与者开发了一种能够针对 Linux 机器的勒索软件,标志着该组织首次涉足开源操作系统。
“它的 locker 勒索软件感染了 Linux、NAS 和 ESXi 主机,并且似乎受到Babuk勒索软件泄露的源代码的启发,”Uptycs 在周三发布的一份新报告中说。“它在 Curve25519(非对称加密)和Chacha20(对称加密)上结合使用ECDH来加密文件。”
本月早些时候,Trellix首次记录了RTM Locker ,将对手描述为私人勒索软件即服务 (RaaS) 提供商。它起源于一个名为 Read The Manual (RTM) 的网络犯罪组织,该组织至少从 2015 年开始活跃。
该组织以故意避开关键基础设施、执法部门和医院等引人注目的目标而著称,以尽可能减少注意力。它还利用关联公司勒索受害者,此外,如果他们拒绝付款,还会泄露被盗数据。
Linux 风格专门用于通过在开始加密过程之前终止在受感染主机上运行的所有虚拟机来挑出 ESXi 主机。用于交付勒索软件的确切初始感染者目前尚不清楚。
“它是静态编译和剥离的,这使得逆向工程更加困难,并允许二进制文件在更多系统上运行,”Uptycs 解释道。“加密功能还使用 pthreads(又名POSIX 线程)来加速执行。”
在成功加密后,我们敦促受害者在 48 小时内通过 Tox 联系支持团队,否则他们的数据可能会被公开。解密使用 RTM Locker 锁定的文件需要附加到加密文件末尾的公钥和攻击者的私钥。
开发之际,微软透露易受攻击的 PaperCut 服务器正被威胁行为者积极瞄准以部署 Cl0p 和 LockBit 勒索软件。
