针对VMware ESXi服务器的RTM Locker勒索软件攻击

关键要点

• 威胁行为者正在通过Linux变种的RTM Locker勒索软件攻击VMware ESXi服务器。
• 加密过程启动后，所有VMware ESXi虚拟机都有可能被加密。
• RTM Locker使用Curve25519和ChaCha20进行加密，并通过静态实现增强了加密的可靠性。
• 勒索软件现在转向Tox进行赎金支付谈判，而不再使用Tor网站。

近期，根据的报道，威胁行为者已经开始针对VMware ESXi服务器，使用了一种基于泄露Babuk勒索软件源代码的Linux变种RTMLocker勒索软件。一旦启动RTM Locker Linux加密工具，加密过程将开始，目标是所有VMwareESXi虚拟机。之后，所有正在运行的虚拟机将被终止，同时会加密日志、虚拟磁盘、虚拟机内存、VM快照和交换文件，Uptycs的报告对此做出了详细说明。

研究人员还发现，RTMLocker在其加密过程中使用了Curve25519进行非对称加密，而ChaCha20则用于对称加密。这一系列加密算法的静态实现大幅提升了勒索软件的加密可靠性。此外，RTMLocker还转向使用Tox进行赎金支付的谈判，这是从以前使用Tor网站的一大变化。尽管如此，BleepingComputer指出，RTMLocker的活动相对较为不活跃，但其对企业的重大威胁仍然存在。

相关链接 -

通过这些发现，可以看出RTM Locker勒索软件对企业的威胁程度是非常显著的。因此，加强对此类攻击的防御，将有助于保护关键业务系统的安全。