{"id":706498,"date":"2023-04-27T09:46:33","date_gmt":"2023-04-27T11:46:33","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-premier-ransomware-linux-de-rtm-locker-ciblant-les-hotes-nas-et-esxi\/"},"modified":"2023-04-27T09:46:36","modified_gmt":"2023-04-27T11:46:36","slug":"le-premier-ransomware-linux-de-rtm-locker-ciblant-les-hotes-nas-et-esxi","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-premier-ransomware-linux-de-rtm-locker-ciblant-les-hotes-nas-et-esxi\/","title":{"rendered":"Le premier ransomware Linux de RTM Locker ciblant les h\u00f4tes NAS et ESXi"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">27 avril 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Linux \/ S\u00e9curit\u00e9 des terminaux<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les acteurs de la menace derri\u00e8re <strong>Casier RTM<\/strong> ont d\u00e9velopp\u00e9 une souche de ransomware capable de cibler les machines Linux, marquant la premi\u00e8re incursion du groupe dans le syst\u00e8me d&#8217;exploitation open source.<\/p>\n<p>&#8220;Son ransomware de casier infecte les h\u00f4tes Linux, NAS et ESXi et semble \u00eatre inspir\u00e9 par le code source divulgu\u00e9 du ransomware Babuk&#8221;, a d\u00e9clar\u00e9 Uptycs dans un nouveau <a rel=\"nofollow noopener\" href=\"https:\/\/www.uptycs.com\/blog\/rtm-locker-ransomware-as-a-service-raas-linux\" target=\"_blank\">rapport<\/a> publi\u00e9 mercredi.  &#8220;Il utilise une combinaison de <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Elliptic-curve_Diffie%E2%80%93Hellman\" target=\"_blank\">ECDH<\/a> sur Curve25519 (cryptage asym\u00e9trique) et <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Salsa20#ChaCha_variant\" target=\"_blank\">Chacha20<\/a> (chiffrement sym\u00e9trique) pour chiffrer les fichiers.&#8221;<\/p>\n<p>RTM Locker a \u00e9t\u00e9 document\u00e9 pour la premi\u00e8re fois par Trellix au d\u00e9but du mois, d\u00e9crivant l&#8217;adversaire comme un fournisseur priv\u00e9 de ransomware-as-a-service (RaaS).  Il a ses racines dans un groupe de cybercriminalit\u00e9 appel\u00e9 Read The Manual (RTM) qui est connu pour \u00eatre actif depuis au moins 2015.<\/p>\n<p>Le groupe est remarquable pour \u00e9viter d\u00e9lib\u00e9r\u00e9ment des cibles de premier plan telles que les infrastructures critiques, les forces de l&#8217;ordre et les h\u00f4pitaux afin d&#8217;attirer le moins d&#8217;attention possible.  Il exploite \u00e9galement les affili\u00e9s pour ran\u00e7onner les victimes, en plus de divulguer des donn\u00e9es vol\u00e9es s&#8217;ils refusent de payer.<\/p>\n<p>La version Linux est sp\u00e9cifiquement con\u00e7ue pour distinguer les h\u00f4tes ESXi en mettant fin \u00e0 toutes les machines virtuelles ex\u00e9cut\u00e9es sur un h\u00f4te compromis avant de commencer le processus de chiffrement.  L&#8217;infecteur initial exact utilis\u00e9 pour d\u00e9livrer le ransomware est actuellement inconnu.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/04\/1682595993_929_Le-premier-ransomware-Linux-de-RTM-Locker-ciblant-les-hotes.png\" alt=\"H\u00f4tes NAS et ESXi\" border=\"0\" data-original-height=\"309\" data-original-width=\"728\" title=\"H\u00f4tes NAS et ESXi\"\/><\/div>\n<p>&#8220;Il est compil\u00e9 et supprim\u00e9 de mani\u00e8re statique, ce qui rend la r\u00e9tro-ing\u00e9nierie plus difficile et permet au binaire de s&#8217;ex\u00e9cuter sur plus de syst\u00e8mes&#8221;, a expliqu\u00e9 Uptycs.  &#8220;La fonction de chiffrement utilise \u00e9galement des pthreads (alias <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Pthreads\" target=\"_blank\">Fils POSIX<\/a>) pour acc\u00e9l\u00e9rer l&#8217;ex\u00e9cution.&#8221;<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">WEBINAIRE \u00c0 VENIR<\/span><\/p>\n<p>Zero Trust + Deception\u00a0: apprenez \u00e0 d\u00e9jouer les attaquants\u00a0!<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">D\u00e9couvrez comment Deception peut d\u00e9tecter les menaces avanc\u00e9es, arr\u00eater les mouvements lat\u00e9raux et am\u00e9liorer votre strat\u00e9gie Zero Trust.  Rejoignez notre webinaire perspicace !<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Sauvez ma place\u00a0!<\/a><\/div>\n<p>Apr\u00e8s un cryptage r\u00e9ussi, les victimes sont invit\u00e9es \u00e0 contacter l&#8217;\u00e9quipe d&#8217;assistance dans les 48 heures via Tox ou risquer de voir leurs donn\u00e9es publi\u00e9es.  Le d\u00e9cryptage d&#8217;un fichier verrouill\u00e9 avec RTM Locker n\u00e9cessite la cl\u00e9 publique ajout\u00e9e \u00e0 la fin du fichier crypt\u00e9 et la cl\u00e9 priv\u00e9e de l&#8217;attaquant.<\/p>\n<p>Le d\u00e9veloppement intervient alors que Microsoft a r\u00e9v\u00e9l\u00e9 que les serveurs PaperCut vuln\u00e9rables sont activement cibl\u00e9s par les acteurs de la menace pour d\u00e9ployer les ran\u00e7ongiciels Cl0p et LockBit.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/04\/rtm-lockers-first-linux-ransomware.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80227 avril 2023\ue804Ravie LakshmananLinux \/ S\u00e9curit\u00e9 des terminaux Les acteurs de la menace derri\u00e8re Casier RTM ont d\u00e9velopp\u00e9 une souche de ransomware capable de cibler les machines Linux, marquant la premi\u00e8re incursion du groupe dans le syst\u00e8me d&#8217;exploitation open source. &#8220;Son ransomware de casier infecte les h\u00f4tes Linux, NAS et ESXi et semble \u00eatre inspir\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":706499,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4175,4168,4158,4165,4161,91615,29973,4157,4159,4171,4170,65,18088,11908,4167,4160,5266,4163,4162,2497,4392,156425,4172,4169,4166,4164],"class_list":["post-706498","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-ciblant","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-esxi","tag-hotes","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-linux","tag-locker","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nas","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-premier","tag-ransomware","tag-rtm","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/706498","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=706498"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/706498\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/706499"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=706498"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=706498"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=706498"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}