Linux version of RTM Locker ransomware targets VMware ESXi servers
แรนซัมแวร์ RTM Locker เวอร์ชัน Linux มีเป้าหมายที่เซิร์ฟเวอร์ VMware ESXi แก๊งอาชญากรไซเบอร์ RTM (Read The Manual) มีบทบาทในการฉ้อโกงทางการเงินมาอย่างน้อยตั้งแต่ปี 2015 ซึ่งเป็นที่รู้จักในด้านการแพร่กระจาย banking trojan แบบกำหนดเองที่ใช้เพื่อขโมยเงินจากผู้ที่ตกเป็นเหยื่อ บริษัทรักษาความปลอดภัยทางไซเบอร์ Trellix รายงานว่า RTM Locker ได้เปิดตัวการดำเนินการ Ransomware-as-a-Service (Raas) ใหม่ และได้เริ่มรับสมัครบริษัทในเครือ รวมถึงผู้ที่มาจากกลุ่มอาชญากรรมไซเบอร์ Conti เดิม MalwareHunterTeam นักวิจัยด้านความปลอดภัยยังแชร์ตัวอย่าง RTM Locker กับ BleepingComputer ในเดือนธันวาคม 2022 ซึ่งระบุว่า RaaS นี้มีการใช้งานมาแล้วอย่างน้อยห้าเดือน
ในขณะนั้น Trellix และ MalwareHunterTeam เห็นเพียงตัวเข้ารหัสแรนซัมแวร์ของ Windows เท่านั้น แต่ตามที่ Uptycs รายงานเมื่อวานนี้ RTM ได้ขยายการกำหนดเป้าหมายไปยังเซิร์ฟเวอร์ Linux และ VMware ESXi ในรายงานฉบับใหม่โดย Uptycs นักวิจัยได้วิเคราะห์ตัวแปร Linux ของ RTM Locker ซึ่งอ้างอิงจากซอร์สโค้ดที่รั่วไหลของ Babuk ransomware ที่หมดอายุแล้ว โดยตัวเข้ารหัส RTM Locker Linux ดูเหมือนจะถูกสร้างขึ้นสำหรับการโจมตีระบบ VMware ESXi เนื่องจากมีการอ้างอิงจำนวนมากถึงคำสั่งที่ใช้ในการจัดการเครื่อง VM เมื่อเปิดใช้งานตัวเข้ารหัสจะพยายามเข้ารหัสเครื่อง VM ที่ทำงานบน VMware ESXi ทั้งหมดก่อน โดยรวบรวมรายการ VM ที่รันอยู่โดยใช้คำสั่ง esxcli vm process list >> vmlist.tmp.txt จากนั้นตัวเข้ารหัสจะยุติการทำงานของเครื่อง VM ทั้งหมดโดยใช้คำสั่ง esxcli vm process kill -t=force -w หลังจากที่ VM ทั้งหมดถูกยกเลิกการทำงาน ตัวเข้ารหัสจะเริ่มเข้ารหัสไฟล์ที่มีนามสกุลไฟล์ต่อไปนี้ .log (log files), .vmdk (virtual disks), .vmem (virtual machine memory), .vswp (swap files), and .vmsn (VM snapshots) โดยไฟล์เหล่านี้เชื่อมโยงกับเครื่อง VM ที่ทำงานบน VMware ESXi
เมื่อเข้ารหัสไฟล์สำเร็จตัวเข้ารหัสจะแก้ไขนามสกุลไฟล์เป็น .RTM ต่อท้ายชื่อไฟล์ที่เข้ารหัส หลังจากนั้นจะสร้างบันทึกเรียกค่าไถ่ชื่อ !!! Warning !!! บนระบบที่ถูกโจมตี ข้อความดังกล่าวขู่ว่าจะติดต่อ support ของ RTM ภายใน 48 ชั่วโมงผ่านทาง Tox เพื่อเจรจาเรื่องค่าไถ่ มิฉะนั้นข้อมูลที่ถูกขโมยของเหยื่อจะถูกเผยแพร่ ในอดีต RTM Locker ใช้ไซต์การเจรจาการชำระเงินบนไซต์ TOR แต่เพิ่งย้ายไปที่ TOX
https://www.bleepingcomputer.com/news/security/linux-version-of-rtm-locker-ransomware-targets-vmware-esxi-servers/