Los investigadores de seguridad cibernética han detallado las tácticas de una pandilla cibercriminal «en ascenso» llamada «Read The Manual» (RTM) Locker que funciona como un proveedor privado de ransomware como servicio (RaaS) y lleva a cabo ataques oportunistas para generar ganancias ilícitas.
«La pandilla ‘Read The Manual’ Locker usa afiliados para rescatar a las víctimas, quienes se ven obligados a cumplir con las estrictas reglas de la pandilla», dijo la firma de seguridad cibernética Trellix en un comunicado. informe compartido con The Hacker News.
«La estructura empresarial del grupo, donde los afiliados deben permanecer activos o notificar a la pandilla su salida, muestra la madurez organizacional del grupo, como también se ha observado en otros grupos, como Conti».
RTMdocumentado por primera vez por ESET en febrero de 2017, empezado en 2015 como un malware bancario dirigido a empresas en Rusia a través de descargas ocultas, spam y correos electrónicos de phishing. Desde entonces, las cadenas de ataque montadas por el grupo evolucionado para implementar una carga útil de ransomware en hosts comprometidos.
En marzo de 2021, el grupo de habla rusa fue atribuido a una campaña de extorsión y chantaje que desplegó una trifecta de amenazas, incluido un troyano financiero, herramientas legítimas de acceso remoto y una cepa de ransomware llamada Cotizador.
Trellix le dijo a The Hacker News que no existe una relación entre Quoter y el ejecutable del ransomware RTM Locker utilizado en los últimos ataques.
Un rasgo clave del actor de amenazas es su capacidad para operar bajo las sombras evitando deliberadamente objetivos de alto perfil que podrían llamar la atención sobre sus actividades. Con ese fin, los países de la CEI, así como las morgues, los hospitales, las corporaciones relacionadas con la vacuna COVID-19, la infraestructura crítica, las fuerzas del orden público y otras compañías destacadas están fuera del alcance del grupo.
“El objetivo de la pandilla RTM es atraer la menor atención posible, que es donde las reglas los ayudan a evitar alcanzar objetivos de alto valor”, dijo el investigador de seguridad Max Kersten. «Su gestión de afiliados para lograr ese objetivo requiere cierto nivel de sofisticación, aunque no es un alto nivel per se».
Domina el arte de la recolección de inteligencia de la Dark Web
Aprenda el arte de extraer inteligencia de amenazas de la web oscura. ¡Únase a este seminario web dirigido por expertos!
Las compilaciones de malware RTM Locker están sujetas a mandatos estrictos que prohíben a los afiliados filtrar las muestras, o de lo contrario corren el riesgo de enfrentar una prohibición. Entre las otras reglas establecidas se encuentra una cláusula que bloquea a los afiliados en caso de que permanezcan inactivos durante 10 días sin una notificación por adelantado.
«El esfuerzo que hizo la pandilla para evitar llamar la atención fue el más inusual», explicó Kersten. «Los afiliados también deben estar activos, lo que dificulta que los investigadores se infiltren en la pandilla. En general, los esfuerzos específicos de la pandilla en esta área son más altos de lo que normalmente se observa en comparación con otros grupos de ransomware».
Se sospecha que el casillero se ejecuta en redes que ya están bajo el control del adversario, lo que indica que los sistemas pueden haber sido comprometidos por otros medios, como ataques de phishing, malspam o la explotación de servidores vulnerables expuestos a Internet.
El actor de amenazas, al igual que otros grupos RaaS, utiliza técnicas de extorsión para obligar a las víctimas a pagar. La carga útil, por su parte, es capaz de elevar los privilegios, cancelar los servicios antivirus y de respaldo, y eliminar las instantáneas antes de comenzar su procedimiento de cifrado.
También está diseñado para vaciar la Papelera de reciclaje para evitar la recuperación, cambiar el fondo de pantalla, borrar los registros de eventos y ejecutar un comando de shell que elimina automáticamente el casillero como último paso.
Los hallazgos sugieren que los grupos de delitos cibernéticos continuarán «adoptando nuevas tácticas y métodos para evitar los titulares y ayudarlos a pasar desapercibidos tanto para los investigadores como para las fuerzas del orden», señaló Kersten.