Linux系统遭遇新勒索软件RTMLocker,源自RaaS团伙
安全研究人员发现Linux系统的新勒索软件RTMLocker,由RaaS组织RTM小组开发,其加密方法受到Babuk勒索软件的影响。该恶意软件针对Linux、NAS和ESXi主机,使用非对称和对称加密技术,使文件在无攻击者私钥情况下难以解密。目前,RTMLocker的初始传播方式未知,Uptycs提供了YARA规则帮助防御。
针对Linux系统的一种新的勒索软件二进制文件被认为是由勒索软件即服务(RaaS) RTM小组开发的。
Uptycs的安全研究人员在周三发布的一份报告中分享了这一发现,称这是该组织首次创建Linux二进制文件。
该公司解释说:“它的储物柜勒索软件感染了Linux、NAS和ESXi主机,似乎受到了Babuk勒索软件泄露的源代码的启发。”
代码中的相似之处包括生成随机数的方法。它们还共享它们加密的文件类型。最后,两者都使用高级加密技术,使得在没有攻击者的私钥的情况下很难恢复加密文件。
它使用了非对称加密和对称加密来加密文件。作为扩展名附加到(Windows)或(Linux)加密文件的末尾的公钥被读取以解密文件。共享秘密是用攻击者的私钥获得的,允许文件解密。
该建议写道:“使用非对称和对称加密,如果没有攻击者的私钥,加密文件就无法解密。”
Uptycs在描述这种新的恶意软件时说,它专门针对安装了VMware ESXi管理程序的ESXi主机、服务器或数据存储设备。
此外,Uptycs还指出了RTM Locker和Babuk勒索软件之间的一些区别。
Babuk与RTM Locker略有不同,它使用sosemanuk进行非对称加密,而RTM Locker使用ChaCha20。
尽管对新的二进制文件进行了技术分析,但安全研究人员表示,目前RTM Locker的初始访问向量是未知的。
Uptycs通知包含YARA规则,系统防御者可以使用这些规则扫描可疑进程。
最近演变成针对Linux系统的另一种勒索软件是IceFire,哨兵网络公司(SentinelOne)的安全专家最近对其进行了分析。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
