Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » RTM Ransomware Campaign

RTM Ransomware Campaign

campana campaign

RTM Ransomware Campaign

RTM Ransomware Campaign - Security Analysis

RTM Ransomware Campaign Analysis

Resumen de la Campana

RTM (Ransomware Threat Model) ha implementado una campaña de ransomware que utiliza malware altamente personalizado para explotar vulnerabilidades del sistema operativo y aplicar cifrado en tiempo real. La herramienta se distribuye a través de canales de phishing comprometidos y servidores de distribución maliciosos, creando un ciclo de ataque automatizado capaz de infectar miles de dispositivos en poco tiempo.

Objetivos

  • Distribución masiva: Infectar redes corporativas mediante correo phishing y sitios web falsos.
  • Pérdida total del sistema operativo: Aplicar cifrado en tiempo real que impide la recuperación sin herramientas externas.
  • Economía de escala: Utilizar malware modificado para atacar múltiples direcciones IP y evitar bloqueos por listas negras.

Tacticas

El ataque se divide en tres fases principales:

  1. Fase 1: Explotación del Sistema Operativo
    • Navegar a un dominio de phishing que simula una entidad confiable.
    • Iniciar ejecutable malicioso que utiliza vulnerabilidades conocidas (como CVE-2019-14378 en Windows) para ejecutar el malware.
  1. Fase 2: Exploit Delivery y Cifrado
    • El malware carga una librería de cifrado personalizada que cifra el sistema operativo en tiempo real.
    • Ahora la máquina está bloqueada para cualquier acceso externo sin claves de recuperación.
  1. Fase 3: Exploitation y Acceso Restringido
    • Desbloquear el malware que se ha ejecutado anteriormente usando claves de recuperación.
    • Instalar herramientas para escalar el ataque a otros dispositivos conectados al mismo servidor (ransomware bots).

Indicadores de Compromiso (IOCs)

No hay indicadores de compromiso públicos disponibles en bases de datos abiertas como OpenCTI o VirusTotal para esta campaña específica.

Tipo Valor/Descripción Contexto
Dominio Phishing Domain name related to RTM or ransomware services (not publicly known) URLs que aparecen en correos de phishing y sitios falsos.
Ejecutables Maliciosos Binary files with specific signatures (not publicly known) Hilos del malware que se ejecutan en el sistema operativo.
Patches/CVEs CVE-2019-14378 (Windows) and CVE-2023-57671 (Linux) Vulnerabilidades de seguridad que se explotaron para iniciar el malware.

Impacto

  • Pérdida Total: La operación de RTM es un ejemplo clásico de cómo las campañas ransomware modernas pueden destruir completamente un sistema operativo sin que nadie recupere los datos.
  • Ambiente Corporativo: Al atacar múltiples direcciones IP y servidores, el malware se escala rápidamente para infectar todo el entorno corporativo con mínimos costos operativos.
  • Efecto Cascada: El uso de bots permite que un ataque inicial afecte a miles de dispositivos en horas, exponiendo al negocio a riesgos financieros y legales masivos sin que la víctima tenga tiempo de reaccionar.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me