Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Группировка RTM разработала новый вредонос для атак на системы Linux и ESXi

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 03-19-2025, 10:26 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Программа-вымогатель основана на коде Babuk и позволяет проводить незаметные разрушительные атаки.

Специалисты ИБ-компании Uptycs сообщают, что группировка RTM (Read The Manual) , поставщик RaaS-решения RTM Locker, разработала новый вариант программы-вымогателя, предназначенный для атак на компьютеры на базе Linux. Программа-вымогатель способна заражать хосты Linux, ESXi и NAS.
Согласно Uptycs , RTM Locker для Linux специально предназначен для хостов ESXi, поскольку включает в себя две связанные команды. Исследователи безопасности выделили несколько особенностей RTM Locker:
  • Программа использует асимметричное и симметричное шифрование, что делает невозможным расшифровку файлов без закрытого ключа;

  • Первоначальный вектор атаки в настоящее время неизвестен. Известно только то, что после успешного шифрования жертвам предлагается связаться с хакерами в течение 48 часов через «тёмный» мессенджер Tox. Киберпреступники обещают, что выложат украденные данные в сеть, если жертва не свяжется с ними. Для этих целей группа использует аффилированных лиц;

  • RTM Locker атакует хосты ESXi, останавливая все активные виртуальные машины на хосте до начала процесса шифрования. Примечательно, что группа намеренно не атакует правоохранительные органы, объекты критической инфраструктуры и больницы.

Эксперты предполагают, что программа RTM Locker основана на исходном коде программы-вымогателя Babuk, который был слит в сеть в 2021 году . Специалисты заметили, что Babuk и RTM Locker используют один и тот же метод генерации случайных чисел и асимметричное шифрование.
Стоит отметить, что для симметричного шифрования Babuk использует алгоритм «sosemanuk», а «RTM Locker» использует ChaCha20. Также для шифрования программа использует эллиптическую кривую Диффи-Хеллмана (ECDH) как для асимметричного шифрования (через алгоритм Curve25519), так и для симметричного шифрования (через алгоритм ChaCha20).
RTM Locker уже представляет собой сложную задачу для реверс-инжиниринга и имеет сходство с утекшим кодом программы-вымогателя Babuk. Кроме того, разновидность программы-вымогателя для Linux нацелена на хосты NAS/ESXi. Эксперты предлагают использовать инструмент YARA или сторонний инструмент для сканирования подозрительных процессов, чтобы оставаться в безопасности.
 

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 07:14 AM.

Contact Us - Carder.life - Archive - Top