توسعهدهندگان باجافزار RTM Locker با توسعه نسخهای از باجافزار که قابلیت حمله به دستگاههای تحت لینوکس را دارد، موفق شدند اولین حمله خود به این سیستمعامل انجام دهند. براساس گزارش جدیدی که شرکت امنیتی Uptycsمنتشر کرده است، این باجافزار قادر است هاستهای لینوکس، فضای ذخیره سازی متصل به شبکه (NAS) و اصلی ترین سرورهای مجازی سازی( (ESXi را آلوده کند. گفته میشود کد این باج افزار، از باجافزار Babuk الهام گرفته شده است. برای رمزگذاری فایلهای هدف از ترکیب دو الگوریتم رمزگذاری ECDH و Chacha20 استفاده میکند. ECDH یک الگوریتم رمزگذاری نامتقارن است که برای تبادل کلید بین دو نفر استفاده میشود و Chacha20 یک الگوریتم رمزگذاری جریانی است که برای رمزگذاری دادهها در حال حرکت در شبکههای کامپیوتری استفاده میشود. این ترکیب از دو الگوریتم معمولاً به عنوان یکی از روشهای پراستفاده توسط باجافزارهای رمزگذاری کننده مورد استفاده قرار میگیرد.
RTM Locker توسط شرکت امنیتی Trellix شناسایی شده است. این شرکت، RTM Locker را یک باجافزار به عنوان سرویس (RaaS) توصیف کرده است که توسط یک گروه خصوصی توسعه داده شده است. باجافزار RTM Locker از یک گروه جرایم سایبری با نام Read the Manual (RTM) میآید. این گروه به هدف جلب توجه حداقلی از شرکتها و سازمانها استفاده میکند و برای فشار آوردن بر قربانیان، به شرکتهای وابسته به آنها حمله میکند. برای جداسازی Hostهای ESXi قبل از شروع فرایند رمزگذاری، این نسخه خاص لینوکس طراحی شده است و تمامی ماشینهای مجازی درحال اجرا روی Host را متوقف میکند. هنوز عامل اولیهی آلودهسازی که برای انتقال باجافزار استفاده میشود شناسایی نشده است.
باجافزار RTM Locker برای قفل کردن فایلهای مختلف در سیستم قربانی طراحی شده است. این باجافزار با استفاده از الگوریتم رمزگذاری ، فایلهای قربانی را رمزنگاری میکند و برای بازگشایی فایلها، مبلغی پول از قربانیان درخواست میکند. در صورتی که قربانی پس از ۴۸ ساعت پرداخت نکند، باجافزار تهدید به انتشار فایلهای رمزگذاری شده میکند.
این باجافزار با استفاده از پروتکل TOX، ارتباط خود را با قربانی برقرار میکند و از قربانی خواسته میشود که به تیم پشتیبانی مربوطه ایمیل بفرستد و در ازای پرداخت مبلغی، فایلهای رمزگذاری شده را برمیگرداند. با این حال، این نوع رفتارها اغلب به صورت ناشناس و نامشخص انجام میشود و به همین دلیل، پیگیری و شناسایی فرد یا افرادی که پشت این باجافزار هستند، بسیار دشوار است. گروههای تهدیدات سایبری که به Cl0p و LockBit مرتبط هستند، به دنبال بهرهبرداری از آسیبپذیریهای Papercut هستند. Papercut یک نرمافزار مدیریت چاپ است که برای ادارات و شرکتها استفاده میشود. به نظر میرسد که گروههای تهدیدات سایبری با استفاده از این آسیبپذیری، از این نرمافزار برای نفوذ به سیستمهای هدف استفاده میکنند.
مراجع
https://www.bleepingcomputer.com/news/security/linux-version-of-rtm-locker-ransomware-targets-vmwar…
- 127