Los actores de amenazas detrás Casillero RTM han desarrollado una cepa de ransomware que es capaz de apuntar a máquinas Linux, marcando la primera incursión del grupo en el sistema operativo de código abierto.
«Su ransomware de casillero infecta hosts Linux, NAS y ESXi y parece estar inspirado en el código fuente filtrado del ransomware Babuk», dijo Uptycs en un nuevo informe publicado el miércoles. «Utiliza una combinación de ECDH en Curve25519 (cifrado asimétrico) y Chacha20 (cifrado simétrico) para cifrar archivos».
RTM Locker fue documentado por primera vez por Trellix a principios de este mes, describiendo al adversario como un proveedor privado de ransomware como servicio (RaaS). Tiene sus raíces en un grupo de delitos cibernéticos llamado Read The Manual (RTM) que se sabe que está activo desde al menos 2015.
El grupo se destaca por evitar deliberadamente objetivos de alto perfil, como infraestructura crítica, aplicación de la ley y hospitales, para llamar la menor atención posible. También aprovecha a los afiliados para rescatar a las víctimas, además de filtrar datos robados en caso de que se nieguen a pagar.
El sabor de Linux está diseñado específicamente para seleccionar hosts ESXi al terminar todas las máquinas virtuales que se ejecutan en un host comprometido antes de comenzar el proceso de cifrado. Actualmente se desconoce el infector inicial exacto empleado para entregar el ransomware.
«Se compila y elimina estáticamente, lo que dificulta la ingeniería inversa y permite que el binario se ejecute en más sistemas», explicó Uptycs. «La función de encriptación también usa pthreads (también conocido como Hilos POSIX) para acelerar la ejecución».
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
Después de un cifrado exitoso, se insta a las víctimas a que se comuniquen con el equipo de soporte dentro de las 48 horas a través de Tox o se arriesgan a que se publiquen sus datos. Descifrar un archivo bloqueado con RTM Locker requiere la clave pública adjunta al final del archivo cifrado y la clave privada del atacante.
El desarrollo se produce cuando Microsoft reveló que los servidores vulnerables de PaperCut están siendo atacados activamente por los actores de amenazas para implementar el ransomware Cl0p y LockBit.