La version Linux du ransomware RTM Locker cible les serveurs VMware ESXi

Jun 21, 2023

RTM Locker est la dernière opération de ransomware ciblant les entreprises qui déploie un chiffreur Linux qui cible les machines virtuelles sur les serveurs VMware ESXi.

Le gang de cybercriminalité RTM (Read The Manual) est actif dans la fraude financière depuis au moins 2015, connu pour distribuer un cheval de Troie bancaire personnalisé utilisé pour voler de l'argent aux victimes.

Ce mois-ci, la société de cybersécurité Trellix a rapporté que RTM Locker avait lancé une nouvelle opération Ransomware-as-a-Service (Raas) et avait commencé à recruter des affiliés, notamment ceux de l'ancien syndicat de cybercriminalité Conti.

"Le gang Locker 'Read The Manual' utilise des affiliés pour rançonner les victimes, qui sont toutes obligées de respecter les règles strictes du gang", explique Trellix.

"La structure commerciale du groupe, où les affiliés sont tenus de rester actifs ou d'informer le gang de leur départ, montre la maturité organisationnelle du groupe, comme cela a également été observé dans d'autres groupes, comme Conti."

Le chercheur en sécurité MalwareHunterTeam a également partagé un échantillon de RTM Locker avec BleepingComputer en décembre 2022, indiquant que ce RaaS est actif depuis au moins cinq mois.

À l'époque, Trellix et MalwareHunterTeam n'avaient vu qu'un chiffreur de ransomware Windows, mais comme Uptycs l'a rapporté hier, RTM a étendu son ciblage aux serveurs Linux et VMware ESXi.

Au cours des dernières années, l'entreprise s'est tournée vers les machines virtuelles (VM), car elles offrent une gestion améliorée des appareils et une gestion des ressources beaucoup plus efficace. Pour cette raison, les serveurs d'une organisation sont généralement répartis sur une combinaison de périphériques dédiés et de serveurs VMware ESXi exécutant plusieurs serveurs virtuels.

Les opérations de ransomware ont suivi cette tendance et ont créé des chiffreurs Linux dédiés au ciblage des serveurs ESXi pour chiffrer correctement toutes les données utilisées par l'entreprise.

BleepingComputer l'a constaté avec presque toutes les opérations de ransomware ciblant les entreprises, notamment Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX, Hive et maintenant, RTM Locker.

Dans un nouveau rapport d'Uptycs, les chercheurs ont analysé une variante Linux du RTM Locker basée sur le code source divulgué du ransomware Babuk, aujourd'hui disparu.

Le chiffreur RTM Locker Linux semble avoir été créé explicitement pour attaquer les systèmes VMware ESXi, car il contient de nombreuses références aux commandes utilisées pour gérer les machines virtuelles.

Une fois lancé, le chiffreur tentera d'abord de chiffrer toutes les machines virtuelles VMware ESXi en rassemblant d'abord une liste des machines virtuelles en cours d'exécution à l'aide de la commande esxcli suivante :

Le chiffreur met ensuite fin à toutes les machines virtuelles en cours d'exécution à l'aide de la commande suivante :

Une fois toutes les machines virtuelles terminées, le chiffreur commence à chiffrer les fichiers portant les extensions de fichier suivantes : .log (fichiers journaux), .vmdk (disques virtuels), .vmem (mémoire de la machine virtuelle), .vswp (fichiers d'échange) et .vmsn (instantanés de VM).

Tous ces fichiers sont associés à des machines virtuelles exécutées sur VMware ESXi.

Comme Babuk, RTM utilise une génération de nombres aléatoires et ECDH sur Curve25519 pour le cryptage asymétrique, mais au lieu de Sosemanuk, il s'appuie sur ChaCha20 pour le cryptage symétrique.

Le résultat est sécurisé et n'a pas encore été craqué, il n'y a donc pas de décrypteurs gratuits disponibles pour RTM Locker pour le moment.

Uptycs commente également que les algorithmes cryptographiques sont « implémentés de manière statique » dans le code binaire, ce qui rend le processus de cryptage plus fiable.

Lors du chiffrement de fichiers, le chiffreur ajoute le.RTMextension de fichier aux noms de fichiers cryptés, et une fois cela fait, crée des notes de rançon nommées !!! Avertissement !!!sur le système infecté.

Les notes menacent de contacter le « support » de RTM dans les 48 heures via Tox pour négocier le paiement d'une rançon, sinon les données volées de la victime seront publiées.

Dans le passé, RTM Locker utilisait des sites de négociation de paiement sur les sites TOR suivants, mais a récemment migré vers TOX pour les communications.

L’existence d’une version ciblant ESXi suffit à classer RTM Locker comme une menace importante pour l’entreprise.