Arkasındaki tehdit aktörleri RTM Dolabı Linux makinelerini hedef alabilen bir fidye yazılımı türü geliştirerek, grubun açık kaynak işletim sistemine ilk adımını attı.
Uptycs Çarşamba günü yayınlanan yeni bir raporda, “Soyunma fidye yazılımı Linux, NAS ve ESXi ana bilgisayarlarına bulaşıyor ve Babuk fidye yazılımının sızdırılmış kaynak kodundan ilham almış gibi görünüyor” dedi. “Dosyaları şifrelemek için Curve25519’da (asimetrik şifreleme) ve Chacha20’de (simetrik şifreleme) ECDH’nin bir kombinasyonunu kullanır.”
RTM Locker, ilk olarak bu ayın başlarında Trellix tarafından belgelendi ve düşmanı hizmet olarak özel bir fidye yazılımı (RaaS) sağlayıcısı olarak tanımladı. Kökleri, en az 2015’ten beri aktif olduğu bilinen Read The Manual (RTM) adlı bir siber suç grubuna dayanıyor.
Grup, mümkün olduğunca az dikkat çekmek için kritik altyapı, kolluk kuvvetleri ve hastaneler gibi yüksek profilli hedeflerden kasıtlı olarak kaçınmakla dikkat çekiyor. Ayrıca, ödemeyi reddetmeleri durumunda çalınan verileri sızdırmanın yanı sıra, kurbanları fidye için bağlı kuruluşlardan yararlanır.
Linux tadı, şifreleme işlemine başlamadan önce güvenliği ihlal edilmiş bir ana bilgisayarda çalışan tüm sanal makineleri sonlandırarak ESXi ana bilgisayarlarını ayırmak için özel olarak tasarlanmıştır. Fidye yazılımını iletmek için kullanılan ilk bulaştırıcının kesin olarak şu anda bilinmiyor.
Uptycs, “Statik olarak derlendi ve çıkarıldı, tersine mühendisliği daha zor hale getiriyor ve ikili programın daha fazla sistemde çalışmasına izin veriyor” dedi. “Şifreleme işlevi ayrıca yürütmeyi hızlandırmak için pthreads (diğer adıyla POSIX dizileri) kullanır.”
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
Başarılı şifrelemenin ardından kurbanlardan, Tox yoluyla 48 saat içinde destek ekibiyle iletişime geçmeleri veya verilerini yayınlama riskini almaları istenir. RTM Locker ile kilitlenmiş bir dosyanın şifresini çözmek, şifrelenmiş dosyanın sonuna eklenen genel anahtarı ve saldırganın özel anahtarını gerektirir.
Geliştirme, Microsoft’un savunmasız PaperCut sunucularının tehdit aktörleri tarafından Cl0p ve LockBit fidye yazılımını dağıtmak için aktif olarak hedef alındığını ortaya çıkarmasıyla geldi.