Die Linux-Version der RTM Locker-Ransomware zielt auf VMware ESXi-Server ab

Jun 21, 2023

RTM Locker ist die neueste auf Unternehmen ausgerichtete Ransomware-Operation, bei der ein Linux-Verschlüsselungsprogramm eingesetzt wird, das auf virtuelle Maschinen auf VMware ESXi-Servern abzielt.

Die Cyberkriminalitätsbande RTM (Read The Manual) ist seit mindestens 2015 im Finanzbetrug aktiv und dafür bekannt, einen maßgeschneiderten Banking-Trojaner zu verbreiten, mit dem Opfern Geld gestohlen werden soll.

Diesen Monat berichtete das Cybersicherheitsunternehmen Trellix, dass RTM Locker eine neue Ransomware-as-a-Service (Raas)-Operation gestartet und damit begonnen habe, Partner zu rekrutieren, darunter auch solche des ehemaligen Conti-Cybercrime-Syndikats.

„Die Locker-Bande ‚Read The Manual‘ nutzt Verbündete, um Lösegeld für Opfer zu erpressen, die alle gezwungen sind, sich an die strengen Regeln der Bande zu halten“, erklärt Trellix.

„Der geschäftsmäßige Aufbau der Gruppe, bei dem die Mitglieder verpflichtet sind, aktiv zu bleiben oder der Bande ihren Urlaub mitzuteilen, zeigt die organisatorische Reife der Gruppe, wie dies auch bei anderen Gruppen wie Conti beobachtet wurde.“

Der Sicherheitsforscher MalwareHunterTeam hat im Dezember 2022 auch ein Beispiel von RTM Locker mit BleepingComputer geteilt, was darauf hinweist, dass dieser RaaS seit mindestens fünf Monaten aktiv ist.

Zu diesem Zeitpunkt hatten Trellix und MalwareHunterTeam nur einen Windows-Ransomware-Verschlüsselungsdienst gesehen, aber wie Uptycs gestern berichtete, hat RTM sein Ziel auf Linux- und VMware ESXi-Server ausgeweitet.

In den letzten Jahren sind Unternehmen auf virtuelle Maschinen (VMs) umgestiegen, da diese eine verbesserte Geräteverwaltung und eine wesentlich effizientere Ressourcenverwaltung bieten. Aus diesem Grund sind die Server einer Organisation häufig auf eine Mischung aus dedizierten Geräten und VMware ESXi-Servern verteilt, auf denen mehrere virtuelle Server ausgeführt werden.

Ransomware-Operationen sind diesem Trend gefolgt und haben Linux-Verschlüsselungsprogramme entwickelt, die speziell auf ESXi-Server abzielen, um alle vom Unternehmen verwendeten Daten ordnungsgemäß zu verschlüsseln.

BleepingComputer hat dies bei fast allen auf Unternehmen ausgerichteten Ransomware-Operationen beobachtet, darunter Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX, Hive und jetzt auch RTM Locker.

In einem neuen Bericht von Uptycs analysierten Forscher eine Linux-Variante des RTM Locker, die auf dem durchgesickerten Quellcode der inzwischen nicht mehr existierenden Babuk-Ransomware basiert.

Der Linux-Verschlüsseler RTM Locker scheint explizit für Angriffe auf VMware ESXi-Systeme entwickelt worden zu sein, da er zahlreiche Verweise auf Befehle enthält, die zur Verwaltung virtueller Maschinen verwendet werden.

Beim Start versucht der Verschlüsseler zunächst, alle virtuellen VMware ESXi-Maschinen zu verschlüsseln, indem er zunächst mit dem folgenden esxcli-Befehl eine Liste der ausgeführten VMs zusammenstellt:

Der Encryptor beendet dann alle laufenden virtuellen Maschinen mit dem folgenden Befehl:

Nachdem alle VMs beendet wurden, beginnt der Verschlüsseler mit der Verschlüsselung von Dateien mit den folgenden Dateierweiterungen: .log (Protokolldateien), .vmdk (virtuelle Festplatten), .vmem (virtueller Maschinenspeicher), .vswp (Auslagerungsdateien) und .vmsn (VM-Snapshots).

Alle diese Dateien sind mit virtuellen Maschinen verknüpft, die auf VMware ESXi ausgeführt werden.

Wie Babuk verwendet RTM eine Zufallszahlengenerierung und ECDH auf Curve25519 für die asymmetrische Verschlüsselung, verlässt sich jedoch anstelle von Sosemanuk auf ChaCha20 für die symmetrische Verschlüsselung.

Das Ergebnis ist sicher und wurde noch nicht geknackt, daher sind derzeit keine kostenlosen Entschlüsselungsprogramme für RTM Locker verfügbar.

Uptycs bemerkt außerdem, dass die kryptografischen Algorithmen „statisch in den Code der Binärdatei implementiert“ seien, was den Verschlüsselungsprozess zuverlässiger mache.

Beim Verschlüsseln von Dateien hängt der Verschlüsseler die Datei an.RTMDateierweiterung auf die Namen verschlüsselter Dateien und erstellt anschließend Lösegeldforderungen mit dem Namen !!! Warnung !!!auf dem infizierten System.

In den Notizen wird damit gedroht, sich innerhalb von 48 Stunden über Tox an den „Support“ von RTM zu wenden, um eine Lösegeldzahlung auszuhandeln, andernfalls würden die gestohlenen Daten des Opfers veröffentlicht.

In der Vergangenheit nutzte RTM Locker Zahlungsverhandlungsseiten auf den folgenden TOR-Seiten, wechselte jedoch kürzlich für die Kommunikation zu TOX.

Das Vorhandensein einer ESXi-Targeting-Version reicht aus, um RTM Locker als erhebliche Bedrohung für das Unternehmen einzustufen.

Die gute Nachricht ist jedoch, dass die Forschung von BleepingComputer gezeigt hat, dass die Gruppe nicht besonders aktiv ist, obwohl sich das in Zukunft ändern könnte.

Die Linux-Version der Abyss Locker-Ransomware zielt auf VMware ESXi-Server ab

Die Linux-Version der Akira-Ransomware zielt auf VMware ESXi-Server ab

Die Woche der Ransomware – 4. August 2023 – Im Visier VMware ESXi

Lernen Sie NoEscape kennen: den wahrscheinlichen Nachfolger der Avaddon-Ransomware-Gang

Die Woche in Ransomware – 30. Juni 2023 – Falsche Identität