RTM Locker’ı arkasındaki siber korsanlar, Linux makinelerini hedef alabilen ve grubun açık kaynaklı işletim sistemine ilk girişine işaret eden bir fidye yazılımı türü geliştirdi.
Uptycs Çarşamba günü yayınlanan yeni bir raporda, “Depolama fidye yazılımı Linux, NAS ve ESXi ana bilgisayarlarına bulaşıyor ve Babuk fidye yazılımının sızdırılmış kaynak kodundan ilham alıyor gibi görünüyor” dedi. “Dosyaları şifrelemek için Curve25519’da (asimetrik şifreleme) ECDH ve Chacha20’nin (simetrik şifreleme) bir kombinasyonunu kullanır.”
RTM Locker’ı ilk olarak bu ayın başlarında Trellix tarafından belgelendi ve rakibi özel bir hizmet olarak fidye yazılımı (RaaS) sağlayıcısı olarak nitelendirdi. Kökleri, en az 2015’ten beri aktif olduğu bilinen Read The Manual (RTM) adlı bir siber suç grubuna dayanmaktadır.
İlginizi çekebilecek yazımız: Yeni SLP Güvenlik Açığı, Güçlü DDoS Saldırısı Yapmaya İzin Veriyor
Grup, mümkün olduğunca az dikkat çekmek için kritik altyapı, kolluk kuvvetleri ve hastaneler gibi yüksek profilli hedeflerden kasıtlı olarak kaçınmasıyla dikkat çekiyor. Ayrıca, ödemeyi reddetmeleri durumunda çalınan verileri sızdırmanın yanı sıra fidye kurbanlarına bağlı kuruluşlardan da yararlanır.
Linux,şifreleme işlemine başlamadan önce güvenliği ihlal edilmiş bir ana bilgisayarda çalışan tüm sanal makineleri sonlandırarak özellikle ESXi ana bilgisayarlarını ayırmaya yönelik çalışıyor. Fidye yazılımını teslim etmek için kullanılan tam başlangıç bulaşıcısı şu anda bilinmiyor.
Uptycs, “Statik olarak derlenir ve soyulur, tersine mühendisliği zorlaştırır ve ikilinin daha fazla sistemde çalışmasına izin verir” dedi. “Şifreleme işlevi, yürütmeyi hızlandırmak için pthread’leri (diğer adıyla POSIX iş parçacıkları) da kullanır.”
Başarılı şifrelemenin ardından, mağdurların Metin yoluyla 48 saat içinde destek ekibiyle iletişime geçmeleri veya verilerinin yayınlanma riskini almaları istenir. RTM Locker ile kilitlenen bir dosyanın şifresini çözmek için şifrelenmiş dosyanın sonuna eklenen ortak anahtar ve saldırganın özel anahtarı gerekir.
Gelişme, Microsoft’un savunmasız PaperCut sunucularının Cl0p ve LockBit fidye yazılımlarını dağıtmak için tehdit aktörleri tarafından aktif olarak hedef alındığını ortaya çıkarmasıyla geldi.
Artık önümüzdeki yıllarda Debian işletim sistemlerini hedef alan fidye saldırılarını sıklıkça görmeye başlayacağız gibi.
Haber Kaynağı: The Hacker News