RTM Locker adalah operasi ransomware penargetan perusahaan terbaru yang ditemukan menggunakan enkripsi Linux yang menargetkan mesin virtual di server VMware ESXi.
Geng kejahatan dunia maya RTM (Baca Manual) telah aktif di penipuan keuangan setidaknya sejak 2015dikenal karena mendistribusikan trojan perbankan khusus yang digunakan untuk mencuri uang dari korban.
Bulan ini, perusahaan keamanan siber Trellix melaporkan bahwa RTM Locker telah meluncurkan operasi Ransomware-as-a-Service (Raas) baru dan mulai merekrut afiliasi, termasuk yang berasal dari mantan sindikat kejahatan dunia maya Conti.
“Geng Locker ‘Read The Manual’ menggunakan afiliasi untuk menebus korban, yang semuanya dipaksa untuk mematuhi aturan ketat geng tersebut,” menjelaskan Trelix.
“Pengaturan grup yang mirip bisnis, di mana afiliasi diminta untuk tetap aktif atau memberi tahu geng tentang cuti mereka, menunjukkan kematangan organisasi grup, seperti yang juga telah diamati di grup lain, seperti Conti.”
Peneliti keamanan MalwareHunterTeam juga membagikan sampel RTM Locker dengan BleepingComputer pada Desember 2022, menunjukkan RaaS ini telah aktif setidaknya selama lima bulan.
Pada saat itu, Trellix dan MalwareHunterTeam hanya melihat enkripsi ransomware Windows, tetapi seperti yang dilaporkan Uptycs kemarin, RTM telah memperluas penargetannya ke server Linux dan VMware ESXi.
Menargetkan VMware ESXi
Selama beberapa tahun terakhir, perusahaan telah beralih ke mesin virtual (VM) karena mereka menawarkan manajemen perangkat yang lebih baik dan penanganan sumber daya yang jauh lebih efisien. Oleh karena itu, server organisasi umumnya tersebar di berbagai perangkat khusus dan server VMware ESXi yang menjalankan beberapa server virtual.
Operasi ransomware telah mengikuti tren ini dan membuat enkripsi Linux yang didedikasikan untuk menargetkan server ESXi untuk mengenkripsi semua data yang digunakan oleh perusahaan dengan benar.
BleepingComputer telah melihat ini dengan hampir semua operasi ransomware penargetan perusahaan, termasuk Kerajaan, Basta Hitam, LockBit, BlackMatter, AvosLocker, Revil, Hello Kitty, RansomEXX, Sarang lebahdan sekarang, RTM Locker.
Di sebuah laporan baru oleh Uptycs, peneliti menganalisis varian Linux dari RTM Locker yang didasarkan pada kode sumber bocor dari ransomware Babuk yang sekarang sudah tidak berfungsi.
Enkripsi RTM Locker Linux tampaknya dibuat secara eksplisit untuk menyerang sistem VMware ESXi, karena berisi banyak referensi ke perintah yang digunakan untuk mengelola mesin virtual.
Saat diluncurkan, encryptor pertama-tama akan mencoba mengenkripsi semua mesin virtual VMware ESXi dengan terlebih dahulu mengumpulkan daftar VM yang sedang berjalan menggunakan perintah esxcli berikut:
esxcli vm process list >> vmlist.tmp.txt
Enkripsi kemudian menghentikan semua mesin virtual yang sedang berjalan menggunakan perintah berikut:
esxcli vm process kill -t=force -wSetelah semua VM dihentikan, encryptor mulai mengenkripsi file yang memiliki ekstensi file berikut – .log (file log), .vmdk (disk virtual), .vmem (memori mesin virtual), .vswp (file swap), dan .vmsn (snapshot VM).
Semua file ini terkait dengan mesin virtual yang berjalan di VMware ESXi.
Seperti Babuk, RTM menggunakan pembuatan angka acak dan ECDH pada Curve25519 untuk enkripsi asimetris, tetapi alih-alih Sosemanuk, RTM bergantung pada ChaCha20 untuk enkripsi simetris.
Hasilnya aman dan belum di-crack, jadi saat ini tidak tersedia dekripsi gratis untuk RTM Locker.
Uptycs juga berkomentar bahwa algoritme kriptografi “diimplementasikan secara statis” ke dalam kode biner, membuat proses enkripsi lebih andal.
Saat mengenkripsi file, enkripsi menambahkan .RTM ekstensi file ke nama file terenkripsi, dan setelah selesai, buat catatan tebusan bernama !!! Peringatan !!! pada sistem yang terinfeksi.
Catatan tersebut mengancam untuk menghubungi “dukungan” RTM dalam waktu 48 jam melalui Tox untuk menegosiasikan pembayaran uang tebusan, atau data korban yang dicuri akan dipublikasikan.
Di masa lalu, RTM Locker menggunakan situs negosiasi pembayaran di situs TOR berikut, tetapi baru-baru ini pindah ke TOX untuk komunikasi.
nvfutdbq3ubteaxj4m2jyihov5aa4akfudsj5h7vhyrvfarfra26ksyd.onion
3wugtklp46ufx7dnr6j5cd6ate7wnvnivsyvwuni7hqcqt7hm5r72nid.onionKeberadaan versi penargetan ESXi cukup untuk mengkategorikan RTM Locker sebagai ancaman signifikan bagi perusahaan.
Namun, kabar baiknya adalah penelitian BleepingComputer telah menunjukkan bahwa grup tersebut tidak terlalu aktif, meskipun hal itu dapat berubah di masa mendatang.
