RTM Locker: Ransomware que apunta a la Arquitectura Linux

Investigadores de seguridad de Uptycs han descubierto la expansión de una variante del ransomware RTM Locker, diseñada específicamente para atacar servidores Linux, NAS y ESXi. Ofrecido como ransomware-as-a-service (RaaS), los indicadores técnicos analizados son suficientes para categorizar a RTM Locker como una amenaza significativa para cualquier Institución/Empresa.

Según informa el proveedor de plataformas CNAPP y XDR Uptycs, RTM Locker es la última operación de ransomware dirigida a instituciones y empresas que despliega un cifrador Linux dirigido a servidores VMware ESXi y NAS.

La banda de ciberdelincuentes RTM (Read The Manual) ha estado activa en el fraude financiero desde al menos 2015, conocida por distribuir un troyano bancario personalizado utilizado para robar dinero de las víctimas.

Este mes, la firma de ciberseguridad Uptycs informó que RTM Locker había lanzado una nueva operación de Ransomware-as-a-Service (Raas) y había comenzado a reclutar afiliados, incluidos los del antiguo sindicato de ciberdelincuentes Conti.

Fig. 1. Operador de RTM promoviendo el RaaS en un foro. (Fuente: bleepingcomputer.com)

El investigador de seguridad MalwareHunterTeam también compartió una muestra de RTM Locker con BleepingComputer en diciembre de 2022, lo que indica que este RaaS ha estado activo durante al menos cinco meses.

En ese momento, Trellix y MalwareHunterTeam solo habían visto un encriptador de ransomware de Windows, pero como Uptycs ha informado, RTM ha ampliado su objetivo a servidores Linux y VMware ESXi.

¿Qué tipo de malware es RTM Locker?

RTM Locker (también conocido como Read The Manual Locker) es un ransomware que cifra archivos, cambia el fondo de escritorio, deja caer el archivo «How To Restore Your Files.txt» que contiene una nota de rescate y añade 64 caracteres aleatorios a los nombres de todos los archivos cifrados. Se sabe que RTM Locker se ofrece como ransomware como servicio (RaaS).

A continuación, se presenta un ejemplo de cómo RTM Locker cambia el nombre de los archivos en el equipo víctima:

«1.jpg» por:
«1.jpg.4117E5B4E58CF57DBE56C6EC62D6A123F429A2F014D0F5C943A014D76126E96A»,

«2.png» por:
«2.png.24645DABEFE1F375A68DC87A394BBF5872AE166358EAE75B1A524EA9FDC92E5A», etc.

La figura 2 ilustra una captura de pantalla de archivos cifrados por este ransomware:

Fig. 2. Archivos afectados por encriptación de RTMLocker. (Fuente: pcrisk.com)

Por otra parte, la nota de rescate está diseñada para informar a las víctimas de que su red ha sido infectada por el ransomware RTM Locker. La nota advierte a las víctimas de que todos sus archivos, incluidos documentos personales, fotos, datos de clientes y empleados y bases de datos, han sido cifrados y son inaccesibles.

Fig. 3. Muestra de la nota de rescate de RTM. (Fuente: uptycs.com)

Los atacantes se ofrecen a ayudar a las víctimas a recuperar sus archivos proporcionándoles un software específico que sólo ellos pueden facilitar. La nota también incluye una advertencia de que si las víctimas no se ponen en contacto con el equipo de asistencia en un plazo de 48 horas, sus datos se publicarán en el dominio público, y los datos comprometidos se enviarán a sus competidores y a las autoridades reguladoras.

La nota también aconseja a las víctimas que no intenten recuperar los archivos por sí mismas ni modificar los archivos cifrados, ya que de hacerlo podrían perder los datos de forma permanente.

Análisis Técnico

El binario del ransomware parece estar orientado a ESXi, debido a los dos comandos ESXi que se observan al inicio del programa. Está compilado y procesado estáticamente, lo que dificulta la ingeniería inversa y permite que el binario se ejecute en más sistemas. Se desconoce el vector de acceso inicial.

Fig. 4. Workflow de ataque de RTM. (Fuente: uptycs.com)

Cuando se ejecuta, el cifrador primero intentará cifrar todas las máquinas virtuales VMware ESXi recopilando primero una lista de las máquinas virtuales en ejecución mediante el siguiente comando:

esxcli vm process list >> vmlist.tmp.txt

A continuación, el encriptador finaliza todas las máquinas virtuales en ejecución mediante el siguiente comando:

esxcli vm process kill -t=force -w

Una vez finalizadas todas las máquinas virtuales, el cifrador comienza a cifrar los archivos que tienen las siguientes extensiones: .log (archivos de registro), .vmdk (discos virtuales), .vmem (memoria de máquina virtual), .vswp (archivos de intercambio) y .vmsn (instantáneas de máquina virtual). Todos estos archivos están asociados a máquinas virtuales que se ejecutan en VMware ESXi.

El algoritmo de cifrado consta de dos pasos:

  1. Inicialmente se utiliza el cifrado asimétrico. El atacante incrusta una clave pública en el fichero, quedando su correspondiente clave privada en poder del atacante. Genera un secreto compartido de 32 bytes entre la clave pública del atacante y las claves efímeras del fichero utilizando el protocolo de intercambio de claves Diffie-Hellman.
  2. A continuación, utiliza el cifrado simétrico ChaCha20. El secreto compartido se somete a hash para obtener una clave de 32 bytes que se utilizará con un algoritmo de cifrado asimétrico. Tras el cifrado, cada clave pública se escribe al final del archivo correspondiente (como en Linux) o se añade como extensión en el caso de Windows.

Tanto ECDH on Curve25519 como ChaCha se implementan de forma estática sin utilizar ninguna biblioteca ni función crypt.

Algoritmo de encriptación de RTM Locker

1. Se genera una clave efímera leyendo /dev/urandom para generar una secuencia aleatoria. Estos bytes aleatorios se utilizan como clave privada durante el algoritmo Elliptic-Curve Diffie-Hellman (ECDH) implementado en Curve25519.

Fig. 5. Generador de números aleatorios como clave efímera. (Fuente: uptycs.com)

2. La clave privada se utiliza ahora para generar la clave pública en Curve25519. La clave pública se añade al final del archivo cifrado. Esta clave pública se utiliza para el descifrado en caso de que la víctima pague el rescate.

Fig. 6. Archivos encriptados. (Fuente: uptycs.com)

3. Ahora se genera una clave compartida, utilizando la clave privada del paso 1 y la clave pública codificada del atacante en el archivo de Curve25519. Este secreto compartido se utiliza ahora en el cifrado simétrico ChaCha20.

Fig. 7. Fragmento de código de generación de claves compartidas. (Fuente: uptycs.com)

Para descifrar el archivo, se lee la clave pública, que está presente en la extensión (WIndows) / al final del archivo (Linux), y junto con la clave privada del atacante se obtiene el secreto compartido que permite descifrar el archivo. El uso de cifrado asimétrico y simétrico hace imposible descifrar los archivos cifrados sin la clave privada del atacante.

¿Cómo protegerse ante infecciones de ransomware?

Para evitar un caso de infección por un ransomware como RTM Locker. es necesario seguir las siguientes recomendaciones:

Evite descargar archivos y programas de fuentes poco fiables, como sitios web dudosos, redes P2P o fuentes web de terceros. En su lugar, es necesario confiar sólo en sitios web y tiendas oficiales para descargas de archivos o software. Además, se requiere filtrar cualquier correo electrónico no solicitado que reciba de fuentes desconocidas, sobre todo los que contengan enlaces o archivos, ya que a menudo se utilizan para distribuir programas maliciosos.

Finalmente, no se debe confiar en anuncios sospechosos, mantenga actualizados todos los equipos de la organización, así como todos los programas instalados, y utilice una solución antivirus de confianza para salvaguardar la integridad de su ordenador.

IoC

SHA256
55b85e76abb172536c64a8f6cf4101f943ea826042826759ded4ce46adc00638
b376d511fb69085b1d28b62be846d049629079f4f4f826fd0f46df26378e398b
d68c99d7680bf6a4644770edfe338b8d0591dfe143278412d5ed62848ffc99e0

Referencia:

https://www.uptycs.com/blog/rtm-locker-ransomware-as-a-service-raas-linux

Webinars

¿Te perdiste el en vivo? ¡Míralo ahora!

Síguenos
Suscríbete

Recibe nuestro boletín para mantenerte actualizado