Linux-версия нового шифровальщика RTM нацелена на серверы VMware ESXi

Linux-версия нового шифровальщика RTM нацелена на серверы VMware ESXi

Linux-версия нового шифровальщика RTM нацелена на серверы VMware ESXi

Исследователи из Uptycs обнаружили в даркнете рекламу партнерки RTM Team Locker на основе зловреда, способного шифровать файлы на Windows-машинах, NAS-устройствах и серверах VMware ESXi.

Анализ образца вредоносного Linux-экзешника подтвердил, что он ориентирован на ESXi-хосты. Вектор начального доступа пока не установлен.

Криминальная группировка RTM известна ИБ-сообществу с 2015 года. Недавно команда запустила свой RaaS-сервис (Ransomware-as-a-Service, шифровальщик как услуга) на основе вредоноса для Windows. Чтобы оставаться в тени, операторы ввели жесткие правила.

Аффилиатам под угрозой бана запрещается обижать медиков, правоохранителей, широко известные компании, а также проводить атаки на объекты критической инфраструктуры (КИИ) и в странах бывшего СНГ. Участники партнерки не должны разглашать коды своих сборок и бездействовать более 10 дней, в противном случае их аккаунт будет удален без предупреждения.

Сам шифровальщик тоже пытается противодействовать анализу и обнаружению. Исполняемый код статически откомпилирован, отладочная информация вычищена; после выполнения основной задачи зловред чистит все журналы и удаляет себя.

Работу RTM Locker на узлах ESXi обеспечивают две команды. Одна позволяет перечислить все запущенные виртуальные машины, другая — прибить их, чтобы можно было без помех приступить к шифрованию.

 

Список расширений файлов, подлежащих обработке, состоит из .log, .vmdk, .vmem, .vswp и .vmsn. Шифратор, по словам аналитиков, создан на основе слитого в Сеть кода Babuk. Шифрование тоже осуществляется с использованием эллиптических кривых Диффи – Хеллмана, а поточный шифр Sosemanuk заменен ChaCha20.

К имени зашифрованных файлов добавляется расширение .RTM, во всех папках с такими объектами создается записка для жертвы. Для исправления ситуации вымогатели предлагают связаться с ними через Tox — в течение двух суток, иначе все узнают о порочащем репутацию инциденте.

 

С прошлого года шифровальщики, заточенные под ESXi, неустанно множатся. Поддержка этой платформы была впервые реализована в BlackCat/ALPHV, затем появилась и в других вредоносах этого класса, в том числе у печально известных Black Basta и LockBit.

Популярность набирают кросс-платформенные зловреды, способные атаковать ESXi (RedAlert, Luna, GwisinLocker). В этом году с той же целью обновился Royal, всплыли также специализированные зловреды — Nevada и ESXiArgs.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники, обокравшие продавцов на Авито, отправлены в колонию на 5 лет

Красносельский суд Санкт-Петербурга вынес приговор по делу мошенников, опустошавших счета продавцов на Авито с помощью фишинговых ссылок. Станислав Виеру и Илья Мальков наказаны лишением свободы на 5,5 и 5 лет соответственно.

По версии следствия, Виеру в 2022 году создал ОПГ, в состав которой привлек Малькова. Свою вину в преступном сговоре оба осужденных так и не признали.

Действуя в рамках мошеннической схемы, подельники отыскивали на Авито объявления о продаже товаров (телефонов, электрогитар и проч.), связывались с продавцом и для уточнения деталей предлагали перенести общение в WhatsApp (принадлежит признанной в России экстремистской и запрещённой корпорации Meta).

В ходе переписки мнимый покупатель сообщал, что хочет заказать курьерскую доставку и просил указать имейл, на который можно выслать форму для получения перевода.

Присланная письмом ссылка вела на фишинговую страницу с логотипом и копией формы Авито. Введенные на ней банковские реквизиты попадали к мошенникам и в дальнейшем использовались для отъема денежных средств.

Выявлено 12 пострадавших, у которых украли от 4,6 тыс. до 52 тыс. рублей.

Схема обмана, по которой работали осужденные, напоминает сценарий «Мамонт», в рамках которого мошенники притворялись покупателями. Только Виеру и Мальков действовали проще — не тратили усилия на сбор информации о мишенях, помогающий сыграть роль убедительнее.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru