TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

トップ > Ransomware: RTM Locker > Linux version of RTM Locker ransomware targets VMware ESXi servers

Linux version of RTM Locker ransomware targets VMware ESXi servers

Ransomware: RTM Locker

【訳】

Linux版ランサムウェア「RTM Locker」、VMware ESXiサーバを狙う


【図表】


ハッカーフォーラムでRaaSを宣伝するRTMオペレーター(Uptycs氏)

RTMの攻撃ワークフロー(Uptycs)

RTMランサムノートサンプル(Uptycs)
出典: https://www.bleepingcomputer.com/news/security/linux-version-of-rtm-locker-ransomware-targets-vmware-esxi-servers/


【要約】

 RTM Lockerというランサムウェアが、VMware ESXiサーバー上の仮想マシンを標的にするLinux版を展開していることが判明しました。RTM(Read The Manual)というサイバー犯罪集団は、少なくとも2015年以降、金融詐欺の活動が確認されており、被害者からお金を盗むために使用されるカスタムバンキングトロイの配布で知られています。


 今月、セキュリティ企業のTrellixは、RTM Lockerが新たなRansomware-as-a-Service(Raas)の運用を開始し、かつてのContiサイバー犯罪シンジケートのメンバーを含むアフィリエイトを募集し始めたことを報告しました。


 RTM Lockerの攻撃対象は、LinuxとVMware ESXiサーバーに拡大されており、企業を標的としたランサムウェアの動向に倣っています。これにより、組織のサーバーは専用デバイスとVMware ESXiサーバー上で複数の仮想サーバーを実行する形態で一般的に展開されるようになりました。


 RTM LockerのLinux版は、VMware ESXiシステムを攻撃するために作成されたものであり、仮想マシンの管理に使用されるコマンドに関する多くの参照が含まれています。


 暗号化プロセスは、一連のファイル拡張子(.log、.vmdk、.vmem、.vswp、.vmsn)を持つファイルを暗号化し、拡張子として.RTMを追加します。そして、ランサムウェアノートが感染したシステム上に作成されます。


 RTM Lockerは重要な脅威と見なされるだけの存在ですが、BleepingComputerの研究によれば、このグループは特に活動的ではないとされています。


【ニュース】

◆Linux version of RTM Locker ransomware targets VMware ESXi servers (BleepingComputer, 2023/04/27 12:20)
[Linux版ランサムウェア「RTM Locker」、VMware ESXiサーバを狙う]
https://www.bleepingcomputer.com/news/security/linux-version-of-rtm-locker-ransomware-targets-vmware-esxi-servers/

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023