search
ja日本語
banner
ホームページ / ニュース / Linux バージョンの RTM Locker ランサムウェアは VMware ESXi サーバーをターゲットにします
ニュース
pageSearch
最新ニュース

Linux バージョンの RTM Locker ランサムウェアは VMware ESXi サーバーをターゲットにします

Jun 21, 2023Jun 21, 2023

RTM Locker は、企業をターゲットとした最新のランサムウェア オペレーションで、VMware ESXi サーバー上の仮想マシンをターゲットとする Linux 暗号化プログラムを導入していることが判明しました。

RTM (Read The Manual) サイバー犯罪組織は少なくとも 2015 年から金融詐欺に活動しており、被害者から金銭を盗むために使用されるカスタム バンキング トロイの木馬を配布したことで知られています。

今月、サイバーセキュリティ企業 Trellix は、RTM Locker が新たな Ransomware-as-a-Service (Raas) 作戦を開始し、元 Conti サイバー犯罪シンジケートを含む関係者を募集し始めたと報告しました。

「『Read The Manual』ロッカーギャングは関連会社を利用して被害者を身代金を要求していますが、被害者は全員、ギャングの厳しい規則に従うことを強いられています」とトレリックス氏は説明する。

「コンティなどの他のグループでも見られたように、加盟者が活動を続けるかギャングに脱退を通知する必要があるというビジネスライクなグループの体制は、グループの組織的成熟度を示している。」

セキュリティ研究者の MalwareHunterTeam も、2022 年 12 月に BleepingComputer と RTM Locker のサンプルを共有しており、この RaaS が少なくとも 5 か月間アクティブであったことが示されています。

当時、Trellix と MalwareHunterTeam は Windows ランサムウェア暗号化ツールしか確認していませんでしたが、Uptycs が昨日報じたように、RTM は対象を Linux サーバーと VMware ESXi サーバーに拡大しました。

ここ数年、企業は、デバイス管理の改善とリソース処理の効率化を実現する仮想マシン (VM) に移行してきました。 このため、組織のサーバーは通常、専用デバイスと複数の仮想サーバーを実行する VMware ESXi サーバーが混在する環境に分散されています。

ランサムウェアの活動もこの傾向に従い、企業が使用するすべてのデータを適切に暗号化するために、ESXi サーバーをターゲットとする専用の Linux 暗号化プログラムを作成しました。

BleepingComputer は、Royal、Black Basta、LockBit、BlackMatter、AvosLocker、REvil、HelloKitty、RansomEXX、Hive、そして今回の RTM Locker を含む、企業をターゲットとしたほぼすべてのランサムウェア操作でこれを確認しています。

Uptycs の新しいレポートでは、研究者らは、現在は廃止されている Babuk ランサムウェアの漏洩ソース コードに基づいた RTM Locker の Linux 亜種を分析しました。

RTM Locker Linux 暗号化プログラムには、仮想マシンの管理に使用されるコマンドへの参照が多数含まれているため、VMware ESXi システムを攻撃するために明示的に作成されたようです。

エンクリプタが起動されると、まず次の esxcli コマンドを使用して実行中の VM のリストを収集し、すべての VMware ESXi 仮想マシンの暗号化を試みます。

次に、暗号化プログラムは次のコマンドを使用して、実行中のすべての仮想マシンを終了します。

すべての VM が終了すると、エンクリプターは、.log (ログ ファイル)、.vmdk (仮想ディスク)、.vmem (仮想マシン メモリ)、.vswp (スワップ ファイル)、および.vmsn (VM スナップショット)。

これらのファイルはすべて、VMware ESXi 上で実行されている仮想マシンに関連付けられています。

Babuk と同様に、RTM は非対称暗号化に乱数生成と Curve25519 の ECDH を使用しますが、対称暗号化には Sosemanuk の代わりに ChaCha20 に依存します。

結果は安全であり、まだ解読されていないため、現時点では RTM Locker に利用できる無料の復号化ツールはありません。

Uptycs はまた、暗号化アルゴリズムがバイナリのコードに「静的に実装」されており、暗号化プロセスの信頼性が向上しているとコメントしています。

ファイルを暗号化するとき、エンクリプターは.RTM暗号化されたファイル名にファイル拡張子を付け、完了後、という名前の身代金メモを作成します。 !!! 警告 !!!感染したシステム上で。

メモには、身代金の支払いについて交渉するためにTox経由で48時間以内にRTMの「サポート」に連絡し、連絡しないと被害者の盗まれたデータが公開されると脅迫されている。

RTM Lockerは以前、以下のTORサイトの支払い交渉サイトを利用していましたが、最近通信のためTOXに移行しました。

ESXi を対象としたバージョンの存在は、RTM Locker を企業に対する重大な脅威として分類するのに十分です。

前: BitLife でストレージ ユニット オークションに参加する方法 次: 10年以上前にロングアイランドを震撼させたギルゴビーチ殺人事件の容疑者、レックス・ホイヤーマンについて私たちが知っていること
お問い合わせを送信
送信