RTM Locker es la última operación de ransomware dirigida a la empresa que implementa un cifrador de Linux que apunta a máquinas virtuales en servidores VMware ESXi.
La pandilla de delitos cibernéticos RTM (Read The Manual) ha estado activa en el fraude financiero desde al menos 2015, conocida por distribuir un troyano bancario personalizado utilizado para robar dinero de las víctimas.
Este mes, la firma de seguridad cibernética Trellix informó que RTM Locker había lanzado una nueva operación de Ransomware-as-a-Service (Raas) y había comenzado a reclutar afiliados, incluidos los del antiguo sindicato de delitos cibernéticos Conti.
«La pandilla ‘Read The Manual’ Locker usa afiliados para rescatar a las víctimas, quienes se ven obligados a cumplir con las estrictas reglas de la pandilla», explica Trellix .
«La estructura empresarial del grupo, donde los afiliados deben permanecer activos o notificar a la pandilla su salida, muestra la madurez organizacional del grupo, como también se ha observado en otros grupos, como Conti».
El investigador de seguridad MalwareHunterTeam también compartió una muestra de RTM Locker con BleepingComputer en diciembre de 2022, lo que indica que este RaaS ha estado activo durante al menos cinco meses.
En ese momento, Trellix y MalwareHunterTeam solo habían visto un cifrador de ransomware de Windows, pero como informó ayer Uptycs, RTM ha ampliado su orientación a servidores Linux y VMware ESXi.
Apuntando a VMware ESXi
En los últimos años, la empresa se ha pasado a las máquinas virtuales (VM), ya que ofrecen una gestión de dispositivos mejorada y un manejo de recursos mucho más eficiente. Debido a esto, los servidores de una organización generalmente se distribuyen en una combinación de dispositivos dedicados y servidores VMware ESXi que ejecutan varios servidores virtuales.
Las operaciones de ransomware han seguido esta tendencia y han creado cifradores de Linux dedicados a los servidores ESXi para cifrar todos los datos utilizados por la empresa correctamente.
BleepingComputer ha visto esto con casi todas las operaciones de ransomware dirigidas a empresas, incluidas Royal , Black Basta , LockBit , BlackMatter , AvosLocker , REvil , HelloKitty , RansomEXX , Hive y ahora, RTM Locker.
En un nuevo informe de Uptycs, los investigadores analizaron una variante de Linux de RTM Locker que se basa en el código fuente filtrado del ahora desaparecido ransomware Babuk.
El encriptador RTM Locker Linux parece haber sido creado explícitamente para atacar los sistemas VMware ESXi, ya que contiene numerosas referencias a los comandos utilizados para administrar máquinas virtuales.
Cuando se inicia, el cifrador primero intentará cifrar todas las máquinas virtuales VMware ESXi recopilando primero una lista de las máquinas virtuales en ejecución mediante el siguiente comando esxcli:
esxcli vm process list >> vmlist.tmp.txt
Luego, el encriptador finaliza todas las máquinas virtuales en ejecución con el siguiente comando:
esxcli vm process kill -t=force -w
Una vez que todas las máquinas virtuales finalizan, el cifrador comienza a cifrar archivos que tienen las siguientes extensiones de archivo: .log (archivos de registro), .vmdk (discos virtuales), .vmem (memoria de máquina virtual), .vswp (archivos de intercambio) y .vmsn (instantáneas de VM).
Todos estos archivos están asociados con máquinas virtuales que se ejecutan en VMware ESXi.
Al igual que Babuk, RTM utiliza una generación de números aleatorios y ECDH en Curve25519 para el cifrado asimétrico, pero en lugar de Sosemanuk, se basa en ChaCha20 para el cifrado simétrico.
El resultado es seguro y aún no se ha descifrado, por lo que no hay descifradores gratuitos disponibles para RTM Locker en este momento.
Uptycs también comenta que los algoritmos criptográficos están «implementados estáticamente» en el código binario, lo que hace que el proceso de encriptación sea más confiable.
Al cifrar archivos, el cifrador agrega la extensión de archivo .RTM a los nombres de los archivos cifrados y, una vez hecho esto, crea notas de rescate denominadas !!! Advertencia !!! en el sistema infectado.
Las notas amenazan con ponerse en contacto con el «soporte» de RTM dentro de las 48 horas a través de Tox para negociar el pago de un rescate, o se publicarán los datos robados de la víctima.
En el pasado, RTM Locker usaba sitios de negociación de pagos en los siguientes sitios TOR, pero recientemente se cambió a TOX para las comunicaciones.
nvfutdbq3ubteaxj4m2jyihov5aa4akfudsj5h7vhyrvfarfra26ksyd.onion
3wugtklp46ufx7dnr6j5cd6ate7wnvnivsyvwuni7hqcqt7hm5r72nid.onion
La existencia de una versión dirigida a ESXi es suficiente para categorizar a RTM Locker como una amenaza importante para la empresa.
Sin embargo, la buena noticia es que la investigación de BleepingComputer ha demostrado que el grupo no es particularmente activo, aunque eso puede cambiar en el futuro.
Fuente y redacción: bleepingcomputer.com