Как RTM Locker уклоняется от обнаружения и почему странам СНГ не нужно бояться хакеров.
Исследователи кибербезопасности из ИБ-компании Trellix подробно описали тактику новой развивающейся группировки RTM Locker («Read The Manual» Locker), которая является поставщиком программы-вымогателя как услуги (Ransomware-as-a-Service, RaaS) и осуществляет атаки для получения прибыли.
RTM Locker использует аффилированных лиц для получения выкупа от жертв, при этом все партнёры должны соблюдать строгие правила группы. Деловая структура группы, в которой аффилированные лица должны оставаться активными и уведомлять банду о своем уходе, показывает организационную зрелость группы, как это наблюдалось и в других группах, например, Conti.
Ключевой особенностью группировки является её способность действовать в тени, намеренно избегая высокопоставленных целей, которые могут привлечь внимание к действиям хакеров. Поэтому страны СНГ, а также морги, больницы, корпорации, связанные с вакциной против COVID-19, критическая инфраструктура, правоохранительные органы и другие компании исключаются из списка мишеней RTM Locker.
Вредоносные сборки RTM Locker связаны строгими предписаниями, запрещающими аффилированным лицам утечку образцов, в противном случае они рискуют быть заблокированными. Среди других изложенных правил есть пункт, который блокирует аффилированных лиц, если они остаются неактивными в течение 10 дней без предварительного уведомления.
Требование того, что аффилированные лица группировки должны быть активными, затрудняет проникновение инсайдеров и исследователей кибербезопасности в банду.
Эксперты предположили, что шифровальщик группы выполняется в сетях, которые уже находятся под контролем злоумышленник. Это указывает на то, что системы могли быть скомпрометированы другими способами, такими как фишинговые атаки, вредоносный спам или использование уязвимых серверов, доступных в Интернете.
Полезная нагрузка RTM Locker способна выполнять следующие действия:
- повышать привилегии;
- отключать антивирусные службы;
- отключать службы резервного копирования;
- удалять теневые копии перед началом процедуры шифрования;
- очищать корзину для предотвращения восстановления;
- изменять обои;
- очищать журналы событий;
- выполнять команду оболочки, которая самостоятельно удаляет ВПО.
Цепочка заражения RTM Locker
Полученные данные свидетельствуют о том, что группы киберпреступников будут продолжать использовать новые тактики и методы, которые помогут им остаться незамеченными как исследователями, так и правоохранительными органами.
Источник: securitylab