RTM Locker

 

RTM Locker fidye yazılımı(ransomware) Linux Esxi içinde kullanılmaya başlamıştır. Fidye yazılımı (ransomware), VMware ESXi ana bilgisayarlarındaki sanal makineleri hedeflemek için bir Linux şifreleyici dağıtmaktadır. Öncelikle güvenliği ihlal edilmiş bir ana bilgisayarda çalışan tüm sanal makineleri durdurur, ardından dosyaları şifreler, Login giriş ekranını değiştirir ve kurbanın bir ödeme için pazarlık yapmaması durumunda çalınan verileri yayınlamakla tehdit eden “Dosyalarınızı Nasıl Geri Yüklersiniz”(How To Restore Your Files) fidye notunu bırakır.

Şifreleme, yürütmeyi hızlandırmak için POSIX Konularını (pthreads) ve hem asimetrik şifreleme (Curve25519 algoritması aracılığıyla) hem de simetrik şifreleme (Chacha20 algoritması aracılığıyla) için Eliptik eğri Diffie-Hellman’ı (ECDH) kullanır.

Hizmet olarak fidye yazılımı (ransomware) (RaaS) sağlayıcısı olarak bilinen RTM siber suç çetesi, en az 2015’ten bu yana mali dolandırıcılık faaliyetlerinde bulunumakta ve özel bir bankacılık truva atı dağıtmasıyla tanınırlar. Uptycs araştırmacıları, karanlık web araştırması sırasında RTM Locker’ı fakettiler ve yeni bir raporda Linux varyantını tanımlayıp analiz ettiler.

ESXi sürümü, fidye yazılımını (ransomware) işletmeler için önemli bir tehdit haline getirmekte. Fidye yazılımının (ransomware) hem asimetrik hem de simetrik şifreleme kullanması, saldırganın özel anahtarı olmadan şifrelenmiş dosyaların şifresinin çözülmesini imkansız hale gelmekte. Şifre çözme, saldırganın özel anahtarıyla birlikte uzantıdaki (Windows’ta) veya dosyanın sonundaki (Linux’ta) genel anahtarın okunmasını gerektirir.

Uptycs tehdit araştırma ekibi, RTM Locker’ı tespit etmek için bir YARA kuralını paylaştı. Kuruluşlar, yerleşik YARA kuralları (kötü amaçlı yazılım algılama kalıpları) ve diğer yetenekleri RTM Locker fidye yazılımını (ransomware) tanımlayıp azaltan Uptycs XDR gibi gelişmiş tehdit koruma araçlarıyla altyapılarının güvenliğinin sağlanmasına yardımcı olmaktadır.

 

RTM Locker ve Babuk fidye yazılımı, asimetrik şifreleme ve rastgele sayı oluşturma konusunda ECDH Curve25519 gibi ortak noktaları paylaşır.

Ancak Babuk sosemanuk kullanıyor, RTM Locker ise asimetrik şifreleme için ChaCha20 kullanır ve bu ikisini farklılaştırır.

Fidye yazılımı (ransomware) ikilisinin ilk incelemesi üzerine, kodun başlangıcındaki iki ESXi komutu nedeniyle programın ESXi’ye göre uyarlandığı ortaya çıkmıştır.

İkili dosya statik olarak derlenir ve çıkarılır, bu da onun çeşitli sistemlerde çalışmasına olanak tanır ve tersine mühendisliği zorlu bir görev haline getirmektedir.

Üstelik ilk erişim vektörü bilinmiyor ve bu da duruma bir karmaşıklık katmanı ekliyor.

Bu ikili dosyada en önemli işlevler şunlardır:

• name_threads
• run_esxi_commands
• pthread_wrapper_main

 

 

• esxcli vm process list >> vmlist.tmp.txt: Bu komut, o anda sistemde çalışan tüm ESXi VM’leri listeler
• esxcli vm process kill -t=force -w: Bu komut, önceki komut tarafından bulunan tüm ESXi VM’lerini sonlandırır.

 

Gelişmiş gözetim yetenekleri ve üstün kaynak yönetimi nedeniyle işletmeler son yıllarda sanal makinelere (VM’ler) geçiş yaptır.

Bu, kuruluşların altyapılarını yönetmek için genellikle özel cihazlar ve birden fazla sanal sunucuyu barındıran VMware ESXi sunucuları kullanmasına neden oluyor.

Bu eğilimi takip eden fidye yazılımı (ransomware) operasyonları, tüm kurumsal verileri kapsamlı bir şekilde şifreleyebilen, ESXi sunucularını hedeflemek için özel olarak tasarlanmış Linux şifreleyiciler geliştirdiler.

Ayrıca, VM yönetiminde kullanılan komutlara yapılan çok sayıda referans göz önüne alındığında, RTM Locker Linux şifreleyicisinin açıkça VMware ESXi sistemlerine saldırmak için tasarlanmış olduğu görülmektedir.

Şifreleyici, dosya şifreleme rutininin bir parçası olarak, etkilenen dosyaların adlarını “.RTM” uzantısını ekleyerek değiştirir.

Şifreleme işleminin tamamlanmasının ardından kötü amaçlı yazılım, ele geçirilen sistemde genellikle şu şekilde etiketlenen fidye notları oluşturmaya devam eder: –

( “!!! Warning !!!”

After encrypting the victim’s files and appending the “.RTM” extension to their names, the ransom notes issued by the attackers typically contain threats to publish the stolen data if the victim fails to pay a ransom.

 

These notes also instruct the victim to contact RTM’s “support” within 48 hours via the anonymous messaging platform Tox to initiate negotiations for the ransom payment. )

 

Geçmişte RTM Locker, mağdurlarla iletişim kurmak ve fidye ödemesi talep etmek için TOR ödeme müzakere sitelerine güvenmekyetdi.

Ancak saldırganlar yakın zamanda iletişim stratejilerini değiştirdiler ve anonim mesajlaşma platformu TOX’u kullanmaya başladılar.

 

RTM Locker fidye yazılımının (ransomware) ESXi hedefleme varyantının geliştirilmesi ve dağıtılması, bu tehdit aktörünün kurumsal düzeydeki kuruluşlar için önemli bir risk oluşturduğunu gösterir.