Dei criminali informatici dietro a RTM Locker hanno sviluppato un ceppo di ransomware capace di attaccare le macchine con montato su sistemi operativi basati su Kernel Linux, segnando il primo tentativo del gruppo nel sistema operativo open source.
Chi sono gli RTM Locker e che tipo di ransomware hanno creato
“Nel suo ransomware locker infetta Linux, NAS e host ESXi ed sembra essere ispirato al codice sorgente trapelato di Babuk ransomware“, ha detto Uptycs in un nuovo rapporto pubblicato mercoledì. “Utilizza una combinazione di ECDH su Curve25519 (crittografia asimmetrica) e Chacha20 (crittografia simmetrica) per crittografare i file“.
RTM Locker è stato documentato per la prima volta da Trellix all’inizio di questo mese, descrivendo l’avversario come un fornitore di ransomware-as-a-service (RaaS) privato; ha le sue radici in un gruppo di cybercrime chiamato Read The Manual (RTM) che è attivo almeno dal 2015.
Il gruppo degli RTM è noto per evitare deliberatamente obiettivi di alto profilo come le infrastrutture critiche, le forze dell’ordine e gli ospedali per attirare il minor numero possibile di attenzioni. Utilizza anche affiliati per chiedere il riscatto alle vittime, oltre a rilasciare dati rubati nel caso in cui queste ultime rifiutino di pagare.
Il flavour Linux è specificamente progettato per selezionare gli host ESXi terminando tutte le macchine virtuali in esecuzione su un host compromesso prima di avviare il processo di crittografia. Al momento non è noto l’iniziale infettore, nel senso il file, o comunque il gruppo di file utilizzati per diffondere il ransomware.
“Il ransomware è staticamente compilato e svuotato, rendendo più difficile l’ingegneria inversa e permettendo al binario di funzionare su più sistemi,” ha spiegato Uptycs. “La funzione di crittografia utilizza anche pthreads (chiamati anche POSIX threads) per velocizzare l’esecuzione”.
Dopo una criptazione riuscita, le vittime sono invitate a contattare il team di supporto entro 48 ore tramite Tox o rischiano la pubblicazione dei loro dati. Per decrittare un file bloccato con RTM Locker è necessaria la chiave pubblica aggiunta alla fine del file criptato e la chiave privata dell’attaccante.
Lo sviluppo arriva quando nel mentre Microsoft ha rivelato che i server vulnerabili di PaperCut sono stati attualmente presi di mira dai criminali informatici per distribuire i ransomware Cl0p e LockBit.
Concludendo
In sintesi, la scoperta di RTM Locker che attacca le macchine Linux rappresenta un allarmante passo avanti per i criminali informatici che cercano di diffondere il ransomware.
Anche la scoperta di minacce che prendono di mira i server vulnerabili di PaperCut è un promemoria per le aziende di tutto il mondo sull’importanza di proteggere adeguatamente i loro sistemi e le reti contro le minacce informatiche.
L’aumento delle attività di ransomware evidenzia l’importanza di implementare misure di sicurezza informatica solide per prevenire attacchi, proteggere i dati e prevenire danni a lungo termine alle organizzazioni.
Infine ricorda sempre che il ransomware è più “disattenzione” dell’utente che un vero e proprio attacco, perché significa scaricare file malevoli spesso mandati tramite mail o chat ingannevoli: non esiste un attacco ransomware.
Oltretutto questa serie di attacchi ai sistemi operativi basati su Kernel Linux pone fine al mito dell'”invincibilità” dei sistemi Linux in quanto sicurezza informatica, in quanto tutto ciò è più “mitologia” dei fan di questi sistemi operativi che realtà effettiva, anche un sistema Linux se “trattato” male può dare brutti risultati.
