Το RTM Locker είναι η πιο πρόσφατη λειτουργία ransomware με στόχευση επιχειρήσεων που διαπιστώθηκε ότι αναπτύσσει έναν κρυπτογράφηση Linux η οποία στοχεύει εικονικές μηχανές σε διακομιστές VMware ESXi.
Η συμμορία εγκλήματος στον κυβερνοχώρο RTM (Read The Manual) δραστηριοποιείται με οικονομικές απάτες τουλάχιστον από το 2015, γνωστή για τη διανομή ενός custom banking trojan που χρησιμοποιείται για την κλοπή χρημάτων από τα θύματα.
Αυτόν τον μήνα, η εταιρεία κυβερνοασφάλειας Trellix ανέφερε ότι το RTM Locker είχε ξεκινήσει μια νέα επιχείρηση Ransomware-as-a-Service (Raas) και είχε αρχίσει να στρατολογεί θυγατρικές, συμπεριλαμβανομένων εκείνων από το πρώην συνδικάτο Conti για το έγκλημα στον κυβερνοχώρο.
“Η συμμορία “Read The Manual” Locker χρησιμοποιεί συνεργάτες για να λύσει τα θύματα, τα οποία όλα αναγκάζονται να συμμορφωθούν με τους αυστηρούς κανόνες της συμμορίας.”εξηγεί ο Trellix.
«Το επιχειρηματικό στήσιμο της ομάδας, όπου οι θυγατρικές καλούνται να παραμείνουν ενεργές ή να ειδοποιήσουν τη συμμορία για την άδεια τους, δείχνει την οργανωτική ωριμότητα της ομάδας, όπως έχει παρατηρηθεί και σε άλλες ομάδες, όπως η Conti».
Ο ερευνητής ασφαλείας MalwareHunterTeam μοιράστηκε επίσης ένα δείγμα RTM Locker τον Δεκέμβριο του 2022, υποδεικνύοντας ότι αυτό το RaaS ήταν ενεργό για τουλάχιστον πέντε μήνες.
Εκείνη την εποχή, η Trellix και η MalwareHunterTeam είχαν δει μόνο έναν κρυπτογράφηση ransomware των Windows, αλλά όπως ανέφερε χθες η Uptycs, η RTM έχει επεκτείνει τη στόχευσή της σε διακομιστές Linux και VMware ESXi.