Novo binário de ransomware está implantando um criptografador direcionado a máquinas virtuais em servidores VMware ESXi
Ransomware RTM tem como alvo servidores VMware ESXi Linux
Um novo binário de ransomware direcionado a sistemas Linux foi atribuído ao grupo RTM Locker de ransomware-as-a-service (RaaS), que está implantando um criptografador direcionado a máquinas virtuais em servidores VMware ESXi. A gangue atua em fraudes financeiras desde ao menos 2015 e é conhecida por distribuir um trojan bancário personalizado usado para roubar dinheiro das vítimas, Ransomware RTM tem como alvo servidores VMware ESXi Linux.
Pesquisadores de segurança da Uptycs compartilharam as descobertas em um comunicado publicado na quarta-feira, 26, dizendo que esta é a primeira vez que o grupo criou um binário do Linux. “Seu ransomware de bloqueio infecta hosts Linux, NAS (Network Attached Storage, sistema de armazenamento conectado à rede) e ESXi e parece ser inspirado pelo código-fonte vazado do ransomware Babuk”, explicou a empresa.
As semelhanças no código incluem métodos para gerar números aleatórios. Eles também compartilham o tipo de arquivo que criptografam. Por fim, ambos usam técnicas avançadas de criptografia para dificultar a recuperação dos arquivos criptografados sem a chave privada do invasor.
Como Babuk, o RTM usa uma geração de números aleatórios e uma combinação para criptografia assimétrica e criptografia simétrica para criptografar arquivos. A chave pública, anexada como uma extensão ao (Windows) ou no final do (Linux) arquivo criptografado, é lida para descriptografar os arquivos. O segredo compartilhado é obtido com a chave privada do invasor, permitindo a descriptografia do arquivo. “O uso de criptografia assimétrica e simétrica torna impossível descriptografar os arquivos criptografados sem a chave privada do invasor”, diz o comunicado da Uptycs.
Ao criptografar arquivos, o ransomware acrescenta a extensão de arquivo .RTM aos nomes dos arquivos criptografados e, depois de concluído, cria notas de resgate chamadas !!! Aviso !!! no sistema infectado. As notas ameaçam para que a vítima entre em contato com o “suporte” da RTM dentro de 48 horas via Tox para negociar o pagamento do resgate, ou os dados roubados da vítima serão publicados. No passado, o RTM Locker usava sites de negociação de pagamento nos seguintes sites Tor, mas mudou-se para Tox recentemente para comunicações.
Segundo a Uptycs, o RTM Locker Linux parece ter sido criado especificamente voltado para hosts ESXi, servidores ou dispositivos de armazenamento de dados nos quais os hipervisores VMware ESXi foram instalados. As operações de ransomware seguiram essa tendência e criaram criptografadores Linux dedicados a direcionar os servidores ESXi para criptografar todos os dados usados pela empresa adequadamente.
Apesar da análise técnica dos novos binários, no entanto, os pesquisadores de segurança da Uptycs, disseram que o vetor de acesso inicial para o RTM Locker é desconhecido. Mas, segundo eles, a existência de uma versão voltada para o ESXi é suficiente para classificar o RTM Locker como uma ameaça significativa paras as empresas.
