최근 뉴스

식품 보관함 전문 시장 2031 주요 동향 분석을 통한 비즈니스 통찰력

Aug 14, 2023

스마트락커 소프트웨어 시장 [주요 동향]

Aug 20, 2023

소포 보관함은 쇼핑을 더욱 환경 친화적으로 만들 수 있습니다.

Aug 22, 2023

Posten Bring, 3년 안에 SwipBox 사물함 5,000개 출시

Aug 18, 2023

Adeyemo: SmartParcel Locker가 나이지리아의 물류 공간을 혁신하는 방법

Aug 16, 2023

RTM Locker 랜섬웨어의 Linux 버전은 VMware ESXi 서버를 표적으로 삼습니다.

Jun 21, 2023

RTM Locker는 VMware ESXi 서버의 가상 머신을 대상으로 하는 Linux 암호화기를 배포하는 것으로 밝혀진 최신 기업 대상 랜섬웨어 작업입니다.

RTM(Read The Manual) 사이버 범죄 집단은 피해자로부터 돈을 훔치는 데 사용되는 맞춤형 뱅킹 트로이 목마를 배포한 것으로 알려진 최소 2015년부터 금융 사기에 적극적으로 참여해 왔습니다.

이번 달 사이버 보안 회사인 Trellix는 RTM Locker가 새로운 Raas(Ransomware-as-a-Service) 작업을 시작했으며 이전 Conti 사이버 범죄 신디케이트를 포함한 계열사를 모집하기 시작했다고 보고했습니다.

Trellix는 "'Read The Manual' Locker 갱단은 계열사를 이용해 피해자를 몸값으로 삼고 이들 모두는 갱단의 엄격한 규칙을 준수해야 합니다"라고 설명합니다.

"계열사가 활동을 유지하거나 갱단에게 휴가를 통보해야 하는 비즈니스와 같은 그룹 구성은 Conti와 같은 다른 그룹에서도 관찰된 것처럼 그룹의 조직적 성숙도를 보여줍니다."

보안 연구원인 MalwareHunterTeam은 2022년 12월 BleepingComputer와 RTM Locker 샘플을 공유했는데, 이는 이 RaaS가 최소 5개월 동안 활성화되었음을 나타냅니다.

당시 Trellix와 MalwareHunterTeam은 Windows 랜섬웨어 암호화 도구만 확인했지만 Uptycs가 어제 보고한 것처럼 RTM은 대상을 Linux 및 VMware ESXi 서버로 확장했습니다.

지난 몇 년 동안 기업은 향상된 장치 관리와 훨씬 더 효율적인 리소스 처리를 제공하는 가상 머신(VM)으로 전환했습니다. 이로 인해 조직의 서버는 일반적으로 여러 가상 서버를 실행하는 전용 장치와 VMware ESXi 서버가 혼합되어 분산되어 있습니다.

랜섬웨어 작업은 이러한 추세를 따라 기업에서 사용하는 모든 데이터를 적절하게 암호화하기 위해 ESXi 서버를 대상으로 하는 전용 Linux 암호화 도구를 만들었습니다.

BleepingComputer는 Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX, Hive 및 RTM Locker를 포함한 거의 모든 기업 대상 랜섬웨어 작업에서 이러한 현상을 확인했습니다.

Uptycs의 새로운 보고서에서 연구원들은 현재는 없어진 Babuk 랜섬웨어의 유출된 소스 코드를 기반으로 하는 RTM Locker의 Linux 변종을 분석했습니다.

RTM Locker Linux 암호화 도구는 가상 머신을 관리하는 데 사용되는 명령에 대한 수많은 참조를 포함하고 있으므로 VMware ESXi 시스템을 공격하기 위해 명시적으로 생성된 것으로 보입니다.

암호화 도구가 시작되면 먼저 다음 esxcli 명령을 사용하여 실행 중인 VM 목록을 수집하여 모든 VMware ESXi 가상 머신 암호화를 시도합니다.

그러면 암호화기는 다음 명령을 사용하여 실행 중인 모든 가상 머신을 종료합니다.

모든 VM이 종료된 후 암호화기는 .log(로그 파일), .vmdk(가상 디스크), .vmem(가상 머신 메모리), .vswp(스왑 파일) 및 .vswp(스왑 파일) 등의 파일 확장자를 가진 파일을 암호화하기 시작합니다. .vmsn(VM 스냅샷).

이러한 파일은 모두 VMware ESXi에서 실행되는 가상 머신과 연결되어 있습니다.

Babuk과 마찬가지로 RTM은 비대칭 암호화를 위해 Curve25519에서 난수 생성 및 ECDH를 사용하지만 Sosemanuk 대신 대칭 암호화를 위해 ChaCha20을 사용합니다.

결과는 안전하며 아직 크랙되지 않았으므로 현재 RTM Locker에 사용할 수 있는 무료 암호 해독기가 없습니다.

Uptycs는 또한 암호화 알고리즘이 바이너리 코드에 "정적으로 구현"되어 암호화 프로세스의 신뢰성을 더욱 높여준다고 설명합니다.

파일을 암호화할 때 암호화기는 다음을 추가합니다..RTM암호화된 파일 이름에 파일 확장자를 추가하고 작업이 완료되면 다음과 같은 이름의 몸값 메모를 생성합니다. !!! 경고 !!!감염된 시스템에서

이 메모는 몸값 지불을 협상하기 위해 48시간 이내에 Tox를 통해 RTM의 "지원"에 연락하지 않으면 피해자의 훔친 데이터가 공개될 것이라고 위협합니다.

예전에는 RTM Locker가 아래 TOR 사이트의 결제 협상 사이트를 이용했으나 최근 통신을 위해 TOX로 옮겼습니다.

ESXi 대상 버전의 존재만으로도 RTM Locker를 기업에 대한 심각한 위협으로 분류하기에 충분합니다.

이전의: BitLife의 저장 장치 경매에 참여하는 방법 다음: 10여 년 전 롱아일랜드를 뒤흔든 길고 비치 살인 사건의 용의자 렉스 호이어만에 대해 우리가 알고 있는 것

문의 보내기

보내다