勒索软件即服务提供商:RTM Locker
💡
原文中文,约6200字,阅读约需15分钟。
📝
内容提要
RTM Locker团伙使用高权限快速加密所有驱动器盘符下的文件,勒索受害者购买软件恢复文件,48小时内未联系支持团队数据将公开。
🎯
关键要点
-
RTM Locker团伙使用勒索软件攻击公司,组织规范严格,要求附属机构保持活跃。
-
该团伙的核心目标是低调行事,避免引起媒体关注,提供俄文和英文的勒索信息。
-
RTM Locker对攻击目标和作案手法进行了规范,帮助分析人员了解其工作方式。
-
控制面板通过用户名、密码和验证码登录,使用双重勒索攻击受害者。
-
附属机构必须保持活跃,非活跃用户会被禁止登录,避免研究人员潜伏。
-
攻击者避免攻击重要基础设施和执法部门,以减少关注。
-
RTM Locker的勒索软件构建保密,样本会在加密完成后自我删除。
-
与RTM Locker的沟通仅通过TOX进行,禁止其他方式。
-
由于俄乌冲突,RTM Locker内部出现分歧,攻击者并不全在俄罗斯。
-
勒索软件通过用户账户控制对话框请求权限,确保获得管理权限。
-
加密前清空回收站和删除卷影副本,确保受害者无法恢复文件。
-
多线程加密提高加密速度,攻击者通过钓鱼邮件等方式投递恶意软件。
-
勒索信息警告受害者在48小时内联系支持团队,否则数据将被公开。
🏷️
标签
➡️
