RTM Locker:阴影下的新兴网络犯罪团伙
2023-4-14 14:52:8 Author: www.freebuf.com(查看原文) 阅读量:19 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

网络安全研究人员详细介绍了一个名为 RTM Locker的新兴网络犯罪团伙的策略,该团伙作为私营勒索软件即服务(RaaS)供应商,进行勒索攻击以获取非法利润。

网络安全公司Trellix在一份分享的报告中说:RTM 团伙有着严格的规则和商业化设置,要求附属机构保持活跃,这也显示了该组织有较高的成熟度。

RTM是ESET在2017年2月首次发现的,RTM起初在2015年是一个银行恶意软件,通过驱动下载、垃圾邮件和钓鱼邮件来针对俄罗斯的企业。此后,该组织的攻击链发展到在被攻击的主机上部署勒索软件的有效载荷。

2021年3月,该组织被认定为是一个勒索和敲诈活动的组织,部署了三重威胁,包括一个金融木马、合法的远程访问工具和一个名为Quoter的勒索软件。

该组织的一个关键特征是它故意避开可能引起人们关注的高知名度目标。因此,独联体国家以及停尸房、医院、新冠疫苗相关企业、关键基础设施、执法部门和其他知名公司都是该团伙的禁区。

RTM Locker恶意软件的构建受到严格的授权约束,禁止附属机构泄露样本,否则将面临被禁止的风险。在其他规则中,有一个条款规定,如果联盟成员在没有预先通知的情况下保持10天不活动,就会被锁定。

RTM像其他RaaS集团一样,使用敲诈技术迫使受害者付款。就其本身而言,该有效载荷能够提升权限,终止防病毒和备份服务,并在开始其加密程序之前删除影子副本。

它还被设计能够清空回收站以防止恢复,改变墙纸,擦除事件日志,并执行一个壳命令,作为最后一步自我删除。

这些发现表明,网络犯罪团伙将继续 采用新的战术和方法,以绕过、躲避研究人员的监控雷达。

参考链接:https://thehackernews.com/2023/04/rtm-locker-emerging-cybercrime-group.html


文章来源: https://www.freebuf.com/news/363586.html
如有侵权请联系:admin#unsafe.sh