RTM Locker : un ransomware auréolé de mystère

Février 2022. Un groupe inconnu apparaît sur un forum de cybercriminels, apparemment cherchant à recruter pour sa nouvelle franchise de ransomware en mode service (RaaS) : « RTM team ». 

Soufiane Tahiri, ingénieur sécurité expert du renseignement sur les menaces, avait repéré la publication. Dans cette dernière, le groupe revendique un rançongiciel écrit en C++ sans dépendances, avec un des variants Windows et Linux, pour NAS et serveurs ESXi. 

RTM Team explique en outre éviter la Russie et ses partenaires immédiats, et ne travailler qu’avait des affidés russophones – « à moins qu’il y ait un partenaire parlant russe ». Les communications se font exclusivement via la messagerie chiffrée Tox. Les commissions débutent à un minimum de 70 % pour l’affidé responsable de l’attaque. 

Mais au cours des 12 derniers mois, RTM Team n’a que peu fait parler d’elle. Il y a plusieurs bonnes raisons à cela. Max Kersten, analyste chez Trellix, a profité de l’édition 2023 de la BotConf, qui se déroule actuellement à Strasbourg, pour partager ses observations tirées d’un rare échantillon du ransomware. 

Celui-ci a été obtenu auprès d’une personne ayant réussi à avoir accès à l’interface d’administration de la franchise. Cet accès a probablement été très temporaire : les opérateurs de la franchise ne tolèrent pas l’inactivité prolongées de leurs affidés. 

Globalement, ils présentent un ensemble de règles relativement strict. Les attaques contre les hôpitaux sont interdites. Mais il paraît difficile de conclure que ce soit pour des raisons éthiques. Car Max Kersten souligne l’importance que RTM Team accorde à sa discrétion : pas question, pour ce groupe mystérieux, d’attirer l’attention, ne serait-ce qu’en pratiquant la double extorsion. S’il des données sont bien susceptibles d’être volées par les attaquants rien, depuis plus d’un an, n’est fait pour revendiquer publiquement des attaques. 

Le mode opératoire trahit par l’échantillon étudié n’est guère différent de celui observé avec les autres ransomware : itération de processus et services ; arrêt de certains précis susceptibles d’empêcher le chiffrement ; vidange silencieuse de la corbeille ; arrêt et suppression des shadow copies… 

Chaque lettre de disque non utilisée est mise à profit pour monter un volume. « De quoi assurer un impact maximum du chiffrement des fichiers », explique Max Kersten.

Seuls les fichiers de plus de 512 octets sont chiffrés. Mais ils le sont suivant un processus massivement parallélisé. Une nouvelle extension aléatoire est appliquée aux fichiers chiffrés. Certains dossiers essentiels pour que le système compromis reste utilisable sont épargnés. 

Vient enfin de quoi expliquer pourquoi RTM Locker est si discret : l’exécutable de chiffrement créée une condition de course destinées à s’assurer que l’exécutable ne cesse pas de s’exécuter en mémoire avant que le fichier le contenant ne soit purgé de son contenu. 

Le fichier exécutable semble encore présent sur la machine après exécution. Mais il ne contient plus rien. Obtenir des échantillons et les étudier n’en devient dès lors que plus difficile.