Специалисты ИБ-компании Uptycs сообщают, что группировка RTM (Read The Manual) , поставщик RaaS-решения RTM Locker, разработала новый вариант программы-вымогателя, предназначенный для атак на компьютеры на базе Linux. Программа-вымогатель способна заражать хосты Linux, ESXi и NAS.
Согласно Uptycs , RTM Locker для Linux специально предназначен для хостов ESXi, поскольку включает в себя две связанные команды. Исследователи безопасности выделили несколько особенностей RTM Locker:
Эксперты предполагают, что программа RTM Locker основана на исходном коде программы-вымогателя Babuk, который был слит в сеть в 2021 году . Специалисты заметили, что Babuk и RTM Locker используют один и тот же метод генерации случайных чисел и асимметричное шифрование.
Стоит отметить, что для симметричного шифрования Babuk использует алгоритм «sosemanuk», а «RTM Locker» использует ChaCha20. Также для шифрования программа использует эллиптическую кривую Диффи-Хеллмана (ECDH) как для асимметричного шифрования (через алгоритм Curve25519), так и для симметричного шифрования (через алгоритм ChaCha20).
RTM Locker уже представляет собой сложную задачу для реверс-инжиниринга и имеет сходство с утекшим кодом программы-вымогателя Babuk. Кроме того, разновидность программы-вымогателя для Linux нацелена на хосты NAS/ESXi. Эксперты предлагают использовать инструмент YARA или сторонний инструмент для сканирования подозрительных процессов, чтобы оставаться в безопасности.